/**
* getParameter
* Get's a parameter from GET or POST (auto detected, POST first) that is safe for use
* in queries or use unchecked.. will return type that's in the paramter..
* Returns null if parameter was not found.
* @return mixed
* @param String $paramName
*/
function getParameter($paramName)
{
//Let's sanatize the param just in case, let's be extermly paranoid here
$paramName = sanatize($paramName, false);
$ret = null;
if (array_key_exists($paramName, $_POST)) {
$ret = sanatize($_POST[$paramName]);
} elseif (array_key_exists($paramName, $_GET)) {
$ret = sanatize($_GET[$paramName]);
}
return $ret;
}
function category_id_from_url($url)
{
/**
* Cagegory ID from its URL
*
* Returns Category ID from its URL
*
* Arguments ( $URL )
* --------------------------------------
*
* $URL -> URL of the category
**/
$url = sanatize($url);
$qurrey = mysql_query("select SL_NO from categories WHERE URL = '{$url}' ");
return mysql_result($qurrey, 0);
}
function article_id_from_url($url)
{
/**
* Article ID
*
* Returns Article ID from URL
*
* Arguments ( $url )
* -------------------------------------
*
* $url -> Requested URL
*
**/
$url = sanatize($url);
$qurrey = mysql_query("select SL_NO from data WHERE LINK = '{$url}' ");
return mysql_result($qurrey, 0);
}
// código de respuesta por defecto: 200 - OK
// =================================================================================
// =================================================================================
// Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos:
$PARAMS = $_POST;
// =================================================================================
// COMPROBACIÓN DE PARÁMETROS
if (!isset($PARAMS['login']) || !isset($PARAMS['pwd'])) {
$rtn = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => "Faltan parámetros en la petición.");
http_response_code(400);
print json_encode($rtn);
exit;
}
// Se pillan los parámetros de la petición:
$usu = sanatize($PARAMS['login']);
$pwd = sanatize($PARAMS['pwd']);
try {
// ******** INICIO DE TRANSACCION **********
mysqli_query($link, "BEGIN");
$mysql = "select * from usuario where LOGIN='******'";
if ($res = mysqli_query($link, $mysql)) {
$row = mysqli_fetch_assoc($res);
// Se transforma en array el registro encontrado
if (mysqli_num_rows($res) == 1 && $row['PASSWORD'] == $pwd) {
$tiempo = time();
// se toma la hora a la que se hizo el login
$key = md5($pwd . date('YmdHis', $tiempo));
$mysql = 'update usuario set CLAVE="' . $key . '"';
$mysql .= ', ULTIMO_ACCESO="' . date('Y-m-d H:i:s', $tiempo) . '"';
$mysql .= ' where LOGIN="******"';
if (mysqli_query($link, $mysql)) {
}
$mysql .= ' where LOGIN="******"';
if ($res = mysqli_query($link, $mysql)) {
$R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Clasificación actualizada correctamente');
} else {
$RESPONSE_CODE = 500;
$R = array('RESULTADO' => 'error', 'CODIGO' => '500', 'DESCRIPCION' => mysqli_error($link));
}
break;
case 'disparo':
switch (array_shift($RECURSO)) {
case 'jugador':
// SE TRATA DE UN DISPARO DEL USUARIO
if (isset($PARAMS['columna']) && isset($PARAMS['fila'])) {
$COLUMNA = sanatize($PARAMS['columna']);
$FILA = sanatize($PARAMS['fila']);
$mysql = 'insert into disparo values("' . $LOGIN . '",' . $COLUMNA . ',' . $FILA . ',0);';
if ($res = mysqli_query($link, $mysql)) {
// ======================================
// Comprobar si ha tocado algún barco
$TOCADO = false;
$HUNDIDO = false;
$mysql = 'select * from barco where LOGIN="******"';
if ($res = mysqli_query($link, $mysql)) {
while ($row = mysqli_fetch_assoc($res)) {
for ($i = 0; $i < $row['TAMANYO']; $i++) {
if ($row['ANGULO'] == 0 && $row['COLUMNA'] + $i == $COLUMNA && $row['FILA'] == $FILA || $row['ANGULO'] == -90 && $row['COLUMNA'] == $COLUMNA && $row['FILA'] - $i == $FILA) {
// TOCADO
$mysql = 'update barco set HITS=' . ($row['HITS'] + 1);
$mysql .= ' where COLUMNA=' . $row['COLUMNA'] . ' and FILA=' . $row['FILA'];
$mysql .= ' and LOGIN="******"';
// =================================================================================
// CONFIGURACION DE SALIDA JSON Y CORS PARA PETICIONES AJAX
// =================================================================================
header("Access-Control-Allow-Orgin: *");
header("Access-Control-Allow-Methods: *");
header("Content-Type: application/json");
// =================================================================================
// Se prepara la respuesta
// =================================================================================
if (!isset($PARAMS['login'])) {
$rtn = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => "Faltan parámetros en la petición.");
http_response_code(400);
print json_encode($rtn);
exit;
}
$LOGIN = sanatize($PARAMS['login']);
$R = [];
// Almacenará el resultado.
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
try {
// ******** INICIO DE TRANSACCION **********
mysqli_query($link, "BEGIN");
$mysql = 'select * from barco where LOGIN="******"';
if ($res = mysqli_query($link, $mysql)) {
while ($row = mysqli_fetch_assoc($res)) {
$R[] = $row;
}
}
mysqli_free_result($res);
$R = array("RESULTADO" => "ok", "CODIGO" => "200", "FILAS" => $R);
exit;
}
if ($login == '') {
$RESPONSE_CODE = 400;
$R = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => 'login no correcto');
} else {
try {
// ******** INICIO DE TRANSACCION **********
mysqli_query($link, 'BEGIN');
if (!comprobarExistencia($login)) {
// El usuario no existe, se da de alta
$mysql = 'insert into usuario(LOGIN,PASSWORD,NOMBRE,EMAIL) values("';
$mysql .= $login . '","' . $pwd . '","' . $nombre . '","' . $email . '")';
} else {
// El usuario existe, se modifican sus datos
$clave = sanatize($PARAMS['clave']);
if (!comprobarSesion($login, $clave)) {
$R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Tiempo de sesión agotado.');
} else {
$mysql = 'update usuario set ';
$mysql .= 'NOMBRE="' . $nombre . '"';
$mysql .= ', EMAIL="' . $email . '"';
if (strlen($pwd) > 1) {
$mysql .= ', PASSWORD="******"';
}
$mysql .= ' where LOGIN="******"';
}
}
if (count($R) == 0) {
// Se ejecuta el sql
if (mysqli_query($link, $mysql)) {
$mysql = 'select * from comentario where ID=' . sanatize($ID);
} else {
// Se utilizan parámetros
if (isset($PARAMS['id_viaje']) && is_numeric($PARAMS['id_viaje'])) {
// se piden todos los comentarios de un viaje
$mysql = 'select * from comentario where ID_VIAJE=' . sanatize($PARAMS['id_viaje']) . ' order by FECHAHORA desc';
} elseif (isset($PARAMS['u']) && is_numeric($PARAMS['u'])) {
$mysql = 'select c.*,v.NOMBRE as NOMBRE_VIAJE from comentario c, viaje v where c.ID_VIAJE=v.ID order by FECHAHORA desc LIMIT 0,' . sanatize($PARAMS['u']);
} else {
$RESPONSE_CODE = 400;
// Los parámetros no son correctos
$R = array("RESULTADO" => "error", "CODIGO" => "400", "DESCRIPCION" => "Los parámetros no son correctos");
}
if ($mysql != '' && isset($PARAMS['pag']) && is_numeric($PARAMS['pag']) && isset($PARAMS['lpag']) && is_numeric($PARAMS['lpag'])) {
$pagina = sanatize($PARAMS['pag']);
$regsPorPagina = sanatize($PARAMS['lpag']);
$ELEMENTO_INICIAL = $pagina * $regsPorPagina;
if (substr($mysql, -5) == 'where') {
$mysql = substr($mysql, 0, strlen($mysql) - 6);
}
// =================================================================================
// Para sacar el total de coincidencias que hay en la BD:
// =================================================================================
if ($res = mysqli_query($link, $mysql)) {
$TOTAL_COINCIDENCIAS = mysqli_num_rows($res);
mysqli_free_result($res);
}
$mysql .= ' LIMIT ' . $ELEMENTO_INICIAL . ',' . $regsPorPagina;
}
}
// =================================================================================
<?php
//include all the files nessary
include_once 'core/init.php';
include_once 'core/sanatize.php';
//intilize the object
$Auth = new Auth();
if ($Auth->checkLogin() == TRUE) {
header("Location: member.php");
} else {
$email = sanatize($_POST['email']);
$password = sanatize($_POST['password']);
if ($_POST['submit']) {
if ($email) {
if ($password) {
if ($Auth->login($email, $password) == TRUE) {
echo "Success";
} else {
echo "ERROR: Invalid Email or Password";
}
} else {
echo "Please Enter a Password";
}
} else {
echo "Please Enter an Email";
}
}
}
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
// =================================================================================
// =================================================================================
// Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos
// del nuevo viaje, NO LAS FOTOS. Las fotos se suben por separado una vez se haya
// confirmado la creación correcta del viaje.
$PARAMS = $_POST;
$clave = sanatize($PARAMS['clave']);
$login = sanatize($PARAMS['login']);
$nombre = sanatize($PARAMS['nombre']);
$descripcion = sanatize(nl2br($PARAMS['descripcion'], false));
$valoracion = sanatize($PARAMS['v']);
$fi = sanatize($PARAMS['fi']);
// fecha inicio
$ff = sanatize($PARAMS['ff']);
// fecha fin
if (!comprobarSesion($login, $clave)) {
$R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Tiempo de sesión agotado.');
} else {
// =================================================================================
try {
mysqli_query($link, "BEGIN");
$mysql = 'insert into viaje(NOMBRE,DESCRIPCION,FECHA_INICIO, FECHA_FIN,VALORACION,LOGIN) ';
$mysql .= 'values("' . $nombre . '","' . $descripcion . '",CONVERT("' . $fi . '",DATE),CONVERT("' . $ff . '",DATE),' . $valoracion . ',"' . $login . '")';
if (mysqli_query($link, $mysql)) {
// Se han insertado los datos de la ruta.
// Se saca el id de la ruta
$mysql = "select MAX(ID) as ID from viaje";
if ($res = mysqli_query($link, $mysql)) {
$viaje = mysqli_fetch_assoc($res);
// =================================================================================
// Se prepara la respuesta
// =================================================================================
$R = [];
// Almacenará el resultado.
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
// =================================================================================
// =================================================================================
// Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos:
$PARAMS = $_POST;
$login = sanatize($PARAMS['login']);
$clave = sanatize($PARAMS['clave']);
$id_viaje = sanatize($PARAMS['id_viaje']);
$descripcion = sanatize($PARAMS['descripcion']);
$fecha = sanatize($PARAMS['fecha']);
if (!comprobarSesion($login, $clave)) {
$RESPONSE_CODE = 401;
$R = array('RESULTADO' => 'ok', "CODIGO" => '401', 'DESCRIPCION' => 'Tiempo de sesión agotado.');
} else {
try {
// Se sube el fichero:
// SI HAY FOTO, HAY QUE COPIARLA
if (count($_FILES['foto']['name']) == 1) {
if ($_FILES['foto']['size'] > $max_uploaded_file_size) {
//CONTROLAR TAMAÑO DE FICHERO
$R = array('RESULTADO' => 'error', 'CODIGO' => '401', 'TAMANYO_FICHERO' => $_FILES['foto']['size'], 'MAX_TAMANYO' => $max_uploaded_file_size, 'DESCRIPCION' => $_FILES["foto"]["error"]);
} else {
// ===================
// HAY FOTO
// ===================
header("Content-Type: application/json");
// =================================================================================
// Se prepara la respuesta
// =================================================================================
$R = [];
// Almacenará el resultado.
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
// =================================================================================
// =================================================================================
$PARAMS = $_POST;
$login = sanatize($PARAMS['login']);
$clave = sanatize($PARAMS['clave']);
$titulo = sanatize($PARAMS['titulo']);
$texto = sanatize(nl2br($PARAMS['texto'], false));
$id_viaje = sanatize($PARAMS['id_viaje']);
if (!comprobarSesion($login, $clave)) {
$RESPONSE_CODE = 401;
$R = array('RESULTADO' => 'ok', "CODIGO" => '401', 'DESCRIPCION' => 'Tiempo de sesión agotado.');
} else {
try {
mysqli_query($link, 'BEGIN');
// Inicio de transacción
$mysql = 'insert into comentario(TITULO,TEXTO,LOGIN,ID_VIAJE) values("' . $titulo;
$mysql .= '","' . $texto . '","' . $login . '",' . $id_viaje . ')';
if (mysqli_query($link, $mysql)) {
$mysql = 'select MAX(ID) as ID from comentario';
if ($res = mysqli_query($link, $mysql)) {
$row = mysqli_fetch_assoc($res);
$ID = $row['ID'];
$R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'ID_COMENTARIO' => $ID);
function article_author($article_id)
{
/**
* Author Information
*
* Author Informaion box with social links
*
* Arguments ( $article_id )
* --------------------------------------
*
* $article_id -> Article ID
*
**/
$article_id = sanatize($article_id);
$data = article_data($article_id);
$user_data = user_data($data->ar_author_id);
echo '<div class="about-author">';
echo ' <div class="row">';
echo ' <h4 class="section-heading" > <i class="fa fa-user"></i> About the Author</h4>';
echo ' <div class="column-xsmall-2 padd0 author-avatar center-xsmall"><img src="' . static_url('img', 1) . 'avatars/' . $user_data['avatar'] . '"></div>';
echo ' <div class="column-xsmall-10">';
echo ' <h3 itemprop="author" >' . $user_data['first_name'] . '</h3>';
echo ' <p>' . $user_data['About_Author'] . '</p>';
echo ' <ul class="author-social">';
if (empty($user_data['TW']) == false) {
echo ' <li><a href="http://twitter.com/"' . $user_data['TW'] . '><i class="fa fa-twitter"></i></a></li>';
}
if (empty($user_data['FB']) == false) {
echo ' <li><a href="http://facebook.com/' . $user_data['FB'] . '"><i class="fa fa-facebook"></i></a></li>';
}
if (empty($user_data['DB']) == false) {
echo ' <li><a href="http://dribbble.com/' . $user_data['FB'] . '"><i class="fa fa-dribbble"></i></a></li>';
}
echo '<li><a href="https://plus.google.com/u/0/' . $user_data['GPLUS'] . '?rel=author"><i class="fa fa-google-plus"></i></a></li>';
echo ' </ul>';
echo ' </div>';
echo ' </div>';
echo '</div>';
}
// =================================================================================
header("Access-Control-Allow-Orgin: *");
header("Access-Control-Allow-Methods: *");
header("Content-Type: application/json");
// =================================================================================
// Se prepara la respuesta
// =================================================================================
$R = [];
// Almacenará el resultado.
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
$mysql = '';
// =================================================================================
if (isset($LOGIN)) {
// Se devuelve si el login está disponible o no
$mysql = 'select LOGIN from usuario where LOGIN="******"';
if (($res = mysqli_query($link, $mysql)) && mysqli_num_rows($res) > 0) {
$R = array("RESULTADO" => "ok", 'CODIGO' => '200', "DISPONIBLE" => "false");
} else {
$R = array("RESULTADO" => "ok", 'CODIGO' => '200', "DISPONIBLE" => "true");
}
} else {
$RESPONSE_CODE = 400;
// Los parámetros no son correctos
$R = array("RESULTADO" => "error", 'CODIGO' => '400', "DESCRIPCION" => "Los parámetros no son correctos");
}
// =================================================================================
// SE HACE LA CONSULTA
// =================================================================================
if (strlen($mysql) > 0 && count($R) == 0 && ($res = mysqli_query($link, $mysql))) {
if (substr($mysql, 0, 6) == "select") {
function active($username)
{
$username = sanatize($username);
$query = mysql_query("SELECT * FROM `users` WHERE `status` = 1");
return mysql_result($query, 0) == 1 ? true : false;
}
// =================================================================================
header("Access-Control-Allow-Orgin: *");
header("Access-Control-Allow-Methods: *");
header("Content-Type: application/json");
// =================================================================================
// Se prepara la respuesta
// =================================================================================
$R = [];
// Almacenará el resultado.
$RESPONSE_CODE = 200;
// código de respuesta por defecto: 200 - OK
$mysql = '';
// =================================================================================
$mysql = 'select * from partidas order by JUGADAS desc, GANADAS desc';
if (isset($PARAMS['c'])) {
$mysql .= ' limit 0,' . sanatize($PARAMS['c']);
}
// =================================================================================
// SE HACE LA CONSULTA
// =================================================================================
if (strlen($mysql) > 0 && count($R) == 0 && ($res = mysqli_query($link, $mysql))) {
if (substr($mysql, 0, 6) == "select") {
while ($row = mysqli_fetch_assoc($res)) {
$R[] = $row;
}
mysqli_free_result($res);
$R = array("RESULTADO" => "ok", "CODIGO" => "200", "FILAS" => $R);
} else {
$R[] = $res;
}
}
