Просмотр архива Мафия


<?

defined('PROTECTOR') or die('Error: restricted access | SQL');



class InitVars {

    # Недопустимые слова в запросах || Писать КАПСОМ

    var $deny_words = array('UNION','CHAR','INSERT','DELETE','SELECT','UPDATE','GROUP','ORDER','BENCHMARK','XSS','TRUNCATE');





# Метод проверяет $_GET и $_POST переменные на наличие опасных данных и SQL инъекций

function checkVars() {

//Проверка опасных данных.

    foreach($_GET as $_ind => $_val){

        $_GET[$_ind] = htmlspecialchars(addslashes(stripslashes($_val)));



        $exp = explode(" ",$_GET[$_ind]);

        foreach($exp as $ind => $val) {

            $val = mb_convert_case($val,MB_CASE_UPPER,"UTF-8");

            

            if(in_array($val,$this->deny_words)){

                $this->antihack(" 

                <link rel='stylesheet' href='/theme/css/light.css' type='text/css'/> 

                <div class='baloon-inner center'>

                <font color='red'><b>АНТИХАК: </b></font>

                <br> Запрещено! Доступ закрыт!

                <br> Ваш IP и браузер помечен! Админу отправлено сообщение!</div>");

            }

        }

    }



    foreach($_POST as $_ind => $_val){

        if(!is_array($_val)) $_POST[$_ind] = htmlspecialchars(addslashes(stripslashes($_val)));



        $exp = explode(" ",$_POST[$_ind]);

        foreach($exp as $ind => $val) {

            $val = mb_convert_case($val,MB_CASE_UPPER,"UTF-8");

            

            if(in_array($val,$this->deny_words)){

                $this->antihack(" 

                <link rel='stylesheet' href='/theme/css/light.css' type='text/css'/> 

                <div class='baloon-inner center'>

                <font color='red'><b>АНТИХАК: </b></font>

                <br> Запрещено! Доступ закрыт!

                <br> Ваш IP и браузер помечен! Админу отправлено сообщение!</div>");

            }

        }

    }



}



function antihack($msg) {

 

    $log_you = base64_decode($_COOKIE['log']);

    $brauser = htmlspecialchars(stripslashes($_SERVER['HTTP_USER_AGENT']));

    $ip = htmlspecialchars(stripslashes($_SERVER['REMOTE_ADDR']));



$_sql['text'] = "

<div class="baloon-inner">

    <center> Сайт пытались взломать! </center>

    <br> • <b> IP: </b> <a href="/index.php?r=moderator&mod=ip&ip=$ip" class="url">$ip</a>

    <br> • <b> Игрок: </b> <a href="/index.php?r=messages&mod=contacts&go=$log_you" class="url">$log_you</a> </b>

    <br> • <b> Url: </b> <a href="$_SERVER[REQUEST_URI]" class="url">$_SERVER[REQUEST_URI]</a>

    <br> • <b> Браузер: </b> </b> $brauser

</div>

";



    @mysql_query_new("INSERT INTO `antihak` SET `ip` = '$ip', `usr` = '$usr', `brauser`='$brauser', `status`='1', `time` = '". time() ."'");

    @mysql_query_new("INSERT INTO `messages` SET `ot` = '4', `komy` = '7', `time` = '". time() ."',`read` = '1', `text` = '$_sql[text]'");



echo $msg;

   

die;}



}









$stop_injection = new InitVars();

$stop_injection->checkVars();



// foreach($_GET as $_ind => $_val) { $_GET["$_ind"] = htmlspecialchars(addslashes(stripslashes($_val))); }

// foreach($_POST as $_ind => $_val) { $_POST["$_ind"] = htmlspecialchars(addslashes(stripslashes($_val))); }



?>