/** * getParameter * Get's a parameter from GET or POST (auto detected, POST first) that is safe for use * in queries or use unchecked.. will return type that's in the paramter.. * Returns null if parameter was not found. * @return mixed * @param String $paramName */ function getParameter($paramName) { //Let's sanatize the param just in case, let's be extermly paranoid here $paramName = sanatize($paramName, false); $ret = null; if (array_key_exists($paramName, $_POST)) { $ret = sanatize($_POST[$paramName]); } elseif (array_key_exists($paramName, $_GET)) { $ret = sanatize($_GET[$paramName]); } return $ret; }
function category_id_from_url($url) { /** * Cagegory ID from its URL * * Returns Category ID from its URL * * Arguments ( $URL ) * -------------------------------------- * * $URL -> URL of the category **/ $url = sanatize($url); $qurrey = mysql_query("select SL_NO from categories WHERE URL = '{$url}' "); return mysql_result($qurrey, 0); }
function article_id_from_url($url) { /** * Article ID * * Returns Article ID from URL * * Arguments ( $url ) * ------------------------------------- * * $url -> Requested URL * **/ $url = sanatize($url); $qurrey = mysql_query("select SL_NO from data WHERE LINK = '{$url}' "); return mysql_result($qurrey, 0); }
// código de respuesta por defecto: 200 - OK // ================================================================================= // ================================================================================= // Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos: $PARAMS = $_POST; // ================================================================================= // COMPROBACIÓN DE PARÁMETROS if (!isset($PARAMS['login']) || !isset($PARAMS['pwd'])) { $rtn = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => "Faltan parámetros en la petición."); http_response_code(400); print json_encode($rtn); exit; } // Se pillan los parámetros de la petición: $usu = sanatize($PARAMS['login']); $pwd = sanatize($PARAMS['pwd']); try { // ******** INICIO DE TRANSACCION ********** mysqli_query($link, "BEGIN"); $mysql = "select * from usuario where LOGIN='******'"; if ($res = mysqli_query($link, $mysql)) { $row = mysqli_fetch_assoc($res); // Se transforma en array el registro encontrado if (mysqli_num_rows($res) == 1 && $row['PASSWORD'] == $pwd) { $tiempo = time(); // se toma la hora a la que se hizo el login $key = md5($pwd . date('YmdHis', $tiempo)); $mysql = 'update usuario set CLAVE="' . $key . '"'; $mysql .= ', ULTIMO_ACCESO="' . date('Y-m-d H:i:s', $tiempo) . '"'; $mysql .= ' where LOGIN="******"'; if (mysqli_query($link, $mysql)) {
} $mysql .= ' where LOGIN="******"'; if ($res = mysqli_query($link, $mysql)) { $R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Clasificación actualizada correctamente'); } else { $RESPONSE_CODE = 500; $R = array('RESULTADO' => 'error', 'CODIGO' => '500', 'DESCRIPCION' => mysqli_error($link)); } break; case 'disparo': switch (array_shift($RECURSO)) { case 'jugador': // SE TRATA DE UN DISPARO DEL USUARIO if (isset($PARAMS['columna']) && isset($PARAMS['fila'])) { $COLUMNA = sanatize($PARAMS['columna']); $FILA = sanatize($PARAMS['fila']); $mysql = 'insert into disparo values("' . $LOGIN . '",' . $COLUMNA . ',' . $FILA . ',0);'; if ($res = mysqli_query($link, $mysql)) { // ====================================== // Comprobar si ha tocado algún barco $TOCADO = false; $HUNDIDO = false; $mysql = 'select * from barco where LOGIN="******"'; if ($res = mysqli_query($link, $mysql)) { while ($row = mysqli_fetch_assoc($res)) { for ($i = 0; $i < $row['TAMANYO']; $i++) { if ($row['ANGULO'] == 0 && $row['COLUMNA'] + $i == $COLUMNA && $row['FILA'] == $FILA || $row['ANGULO'] == -90 && $row['COLUMNA'] == $COLUMNA && $row['FILA'] - $i == $FILA) { // TOCADO $mysql = 'update barco set HITS=' . ($row['HITS'] + 1); $mysql .= ' where COLUMNA=' . $row['COLUMNA'] . ' and FILA=' . $row['FILA']; $mysql .= ' and LOGIN="******"';
// ================================================================================= // CONFIGURACION DE SALIDA JSON Y CORS PARA PETICIONES AJAX // ================================================================================= header("Access-Control-Allow-Orgin: *"); header("Access-Control-Allow-Methods: *"); header("Content-Type: application/json"); // ================================================================================= // Se prepara la respuesta // ================================================================================= if (!isset($PARAMS['login'])) { $rtn = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => "Faltan parámetros en la petición."); http_response_code(400); print json_encode($rtn); exit; } $LOGIN = sanatize($PARAMS['login']); $R = []; // Almacenará el resultado. $RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK try { // ******** INICIO DE TRANSACCION ********** mysqli_query($link, "BEGIN"); $mysql = 'select * from barco where LOGIN="******"'; if ($res = mysqli_query($link, $mysql)) { while ($row = mysqli_fetch_assoc($res)) { $R[] = $row; } } mysqli_free_result($res); $R = array("RESULTADO" => "ok", "CODIGO" => "200", "FILAS" => $R);
exit; } if ($login == '') { $RESPONSE_CODE = 400; $R = array('RESULTADO' => 'error', 'CODIGO' => '400', 'DESCRIPCION' => 'login no correcto'); } else { try { // ******** INICIO DE TRANSACCION ********** mysqli_query($link, 'BEGIN'); if (!comprobarExistencia($login)) { // El usuario no existe, se da de alta $mysql = 'insert into usuario(LOGIN,PASSWORD,NOMBRE,EMAIL) values("'; $mysql .= $login . '","' . $pwd . '","' . $nombre . '","' . $email . '")'; } else { // El usuario existe, se modifican sus datos $clave = sanatize($PARAMS['clave']); if (!comprobarSesion($login, $clave)) { $R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Tiempo de sesión agotado.'); } else { $mysql = 'update usuario set '; $mysql .= 'NOMBRE="' . $nombre . '"'; $mysql .= ', EMAIL="' . $email . '"'; if (strlen($pwd) > 1) { $mysql .= ', PASSWORD="******"'; } $mysql .= ' where LOGIN="******"'; } } if (count($R) == 0) { // Se ejecuta el sql if (mysqli_query($link, $mysql)) {
$mysql = 'select * from comentario where ID=' . sanatize($ID); } else { // Se utilizan parámetros if (isset($PARAMS['id_viaje']) && is_numeric($PARAMS['id_viaje'])) { // se piden todos los comentarios de un viaje $mysql = 'select * from comentario where ID_VIAJE=' . sanatize($PARAMS['id_viaje']) . ' order by FECHAHORA desc'; } elseif (isset($PARAMS['u']) && is_numeric($PARAMS['u'])) { $mysql = 'select c.*,v.NOMBRE as NOMBRE_VIAJE from comentario c, viaje v where c.ID_VIAJE=v.ID order by FECHAHORA desc LIMIT 0,' . sanatize($PARAMS['u']); } else { $RESPONSE_CODE = 400; // Los parámetros no son correctos $R = array("RESULTADO" => "error", "CODIGO" => "400", "DESCRIPCION" => "Los parámetros no son correctos"); } if ($mysql != '' && isset($PARAMS['pag']) && is_numeric($PARAMS['pag']) && isset($PARAMS['lpag']) && is_numeric($PARAMS['lpag'])) { $pagina = sanatize($PARAMS['pag']); $regsPorPagina = sanatize($PARAMS['lpag']); $ELEMENTO_INICIAL = $pagina * $regsPorPagina; if (substr($mysql, -5) == 'where') { $mysql = substr($mysql, 0, strlen($mysql) - 6); } // ================================================================================= // Para sacar el total de coincidencias que hay en la BD: // ================================================================================= if ($res = mysqli_query($link, $mysql)) { $TOTAL_COINCIDENCIAS = mysqli_num_rows($res); mysqli_free_result($res); } $mysql .= ' LIMIT ' . $ELEMENTO_INICIAL . ',' . $regsPorPagina; } } // =================================================================================
<?php //include all the files nessary include_once 'core/init.php'; include_once 'core/sanatize.php'; //intilize the object $Auth = new Auth(); if ($Auth->checkLogin() == TRUE) { header("Location: member.php"); } else { $email = sanatize($_POST['email']); $password = sanatize($_POST['password']); if ($_POST['submit']) { if ($email) { if ($password) { if ($Auth->login($email, $password) == TRUE) { echo "Success"; } else { echo "ERROR: Invalid Email or Password"; } } else { echo "Please Enter a Password"; } } else { echo "Please Enter an Email"; } } }
$RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK // ================================================================================= // ================================================================================= // Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos // del nuevo viaje, NO LAS FOTOS. Las fotos se suben por separado una vez se haya // confirmado la creación correcta del viaje. $PARAMS = $_POST; $clave = sanatize($PARAMS['clave']); $login = sanatize($PARAMS['login']); $nombre = sanatize($PARAMS['nombre']); $descripcion = sanatize(nl2br($PARAMS['descripcion'], false)); $valoracion = sanatize($PARAMS['v']); $fi = sanatize($PARAMS['fi']); // fecha inicio $ff = sanatize($PARAMS['ff']); // fecha fin if (!comprobarSesion($login, $clave)) { $R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'DESCRIPCION' => 'Tiempo de sesión agotado.'); } else { // ================================================================================= try { mysqli_query($link, "BEGIN"); $mysql = 'insert into viaje(NOMBRE,DESCRIPCION,FECHA_INICIO, FECHA_FIN,VALORACION,LOGIN) '; $mysql .= 'values("' . $nombre . '","' . $descripcion . '",CONVERT("' . $fi . '",DATE),CONVERT("' . $ff . '",DATE),' . $valoracion . ',"' . $login . '")'; if (mysqli_query($link, $mysql)) { // Se han insertado los datos de la ruta. // Se saca el id de la ruta $mysql = "select MAX(ID) as ID from viaje"; if ($res = mysqli_query($link, $mysql)) { $viaje = mysqli_fetch_assoc($res);
// ================================================================================= // Se prepara la respuesta // ================================================================================= $R = []; // Almacenará el resultado. $RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK // ================================================================================= // ================================================================================= // Se supone que si llega aquí es porque todo ha ido bien y tenemos los datos correctos: $PARAMS = $_POST; $login = sanatize($PARAMS['login']); $clave = sanatize($PARAMS['clave']); $id_viaje = sanatize($PARAMS['id_viaje']); $descripcion = sanatize($PARAMS['descripcion']); $fecha = sanatize($PARAMS['fecha']); if (!comprobarSesion($login, $clave)) { $RESPONSE_CODE = 401; $R = array('RESULTADO' => 'ok', "CODIGO" => '401', 'DESCRIPCION' => 'Tiempo de sesión agotado.'); } else { try { // Se sube el fichero: // SI HAY FOTO, HAY QUE COPIARLA if (count($_FILES['foto']['name']) == 1) { if ($_FILES['foto']['size'] > $max_uploaded_file_size) { //CONTROLAR TAMAÑO DE FICHERO $R = array('RESULTADO' => 'error', 'CODIGO' => '401', 'TAMANYO_FICHERO' => $_FILES['foto']['size'], 'MAX_TAMANYO' => $max_uploaded_file_size, 'DESCRIPCION' => $_FILES["foto"]["error"]); } else { // =================== // HAY FOTO // ===================
header("Content-Type: application/json"); // ================================================================================= // Se prepara la respuesta // ================================================================================= $R = []; // Almacenará el resultado. $RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK // ================================================================================= // ================================================================================= $PARAMS = $_POST; $login = sanatize($PARAMS['login']); $clave = sanatize($PARAMS['clave']); $titulo = sanatize($PARAMS['titulo']); $texto = sanatize(nl2br($PARAMS['texto'], false)); $id_viaje = sanatize($PARAMS['id_viaje']); if (!comprobarSesion($login, $clave)) { $RESPONSE_CODE = 401; $R = array('RESULTADO' => 'ok', "CODIGO" => '401', 'DESCRIPCION' => 'Tiempo de sesión agotado.'); } else { try { mysqli_query($link, 'BEGIN'); // Inicio de transacción $mysql = 'insert into comentario(TITULO,TEXTO,LOGIN,ID_VIAJE) values("' . $titulo; $mysql .= '","' . $texto . '","' . $login . '",' . $id_viaje . ')'; if (mysqli_query($link, $mysql)) { $mysql = 'select MAX(ID) as ID from comentario'; if ($res = mysqli_query($link, $mysql)) { $row = mysqli_fetch_assoc($res); $ID = $row['ID']; $R = array('RESULTADO' => 'ok', 'CODIGO' => '200', 'ID_COMENTARIO' => $ID);
function article_author($article_id) { /** * Author Information * * Author Informaion box with social links * * Arguments ( $article_id ) * -------------------------------------- * * $article_id -> Article ID * **/ $article_id = sanatize($article_id); $data = article_data($article_id); $user_data = user_data($data->ar_author_id); echo '<div class="about-author">'; echo ' <div class="row">'; echo ' <h4 class="section-heading" > <i class="fa fa-user"></i> About the Author</h4>'; echo ' <div class="column-xsmall-2 padd0 author-avatar center-xsmall"><img src="' . static_url('img', 1) . 'avatars/' . $user_data['avatar'] . '"></div>'; echo ' <div class="column-xsmall-10">'; echo ' <h3 itemprop="author" >' . $user_data['first_name'] . '</h3>'; echo ' <p>' . $user_data['About_Author'] . '</p>'; echo ' <ul class="author-social">'; if (empty($user_data['TW']) == false) { echo ' <li><a href="http://twitter.com/"' . $user_data['TW'] . '><i class="fa fa-twitter"></i></a></li>'; } if (empty($user_data['FB']) == false) { echo ' <li><a href="http://facebook.com/' . $user_data['FB'] . '"><i class="fa fa-facebook"></i></a></li>'; } if (empty($user_data['DB']) == false) { echo ' <li><a href="http://dribbble.com/' . $user_data['FB'] . '"><i class="fa fa-dribbble"></i></a></li>'; } echo '<li><a href="https://plus.google.com/u/0/' . $user_data['GPLUS'] . '?rel=author"><i class="fa fa-google-plus"></i></a></li>'; echo ' </ul>'; echo ' </div>'; echo ' </div>'; echo '</div>'; }
// ================================================================================= header("Access-Control-Allow-Orgin: *"); header("Access-Control-Allow-Methods: *"); header("Content-Type: application/json"); // ================================================================================= // Se prepara la respuesta // ================================================================================= $R = []; // Almacenará el resultado. $RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK $mysql = ''; // ================================================================================= if (isset($LOGIN)) { // Se devuelve si el login está disponible o no $mysql = 'select LOGIN from usuario where LOGIN="******"'; if (($res = mysqli_query($link, $mysql)) && mysqli_num_rows($res) > 0) { $R = array("RESULTADO" => "ok", 'CODIGO' => '200', "DISPONIBLE" => "false"); } else { $R = array("RESULTADO" => "ok", 'CODIGO' => '200', "DISPONIBLE" => "true"); } } else { $RESPONSE_CODE = 400; // Los parámetros no son correctos $R = array("RESULTADO" => "error", 'CODIGO' => '400', "DESCRIPCION" => "Los parámetros no son correctos"); } // ================================================================================= // SE HACE LA CONSULTA // ================================================================================= if (strlen($mysql) > 0 && count($R) == 0 && ($res = mysqli_query($link, $mysql))) { if (substr($mysql, 0, 6) == "select") {
function active($username) { $username = sanatize($username); $query = mysql_query("SELECT * FROM `users` WHERE `status` = 1"); return mysql_result($query, 0) == 1 ? true : false; }
// ================================================================================= header("Access-Control-Allow-Orgin: *"); header("Access-Control-Allow-Methods: *"); header("Content-Type: application/json"); // ================================================================================= // Se prepara la respuesta // ================================================================================= $R = []; // Almacenará el resultado. $RESPONSE_CODE = 200; // código de respuesta por defecto: 200 - OK $mysql = ''; // ================================================================================= $mysql = 'select * from partidas order by JUGADAS desc, GANADAS desc'; if (isset($PARAMS['c'])) { $mysql .= ' limit 0,' . sanatize($PARAMS['c']); } // ================================================================================= // SE HACE LA CONSULTA // ================================================================================= if (strlen($mysql) > 0 && count($R) == 0 && ($res = mysqli_query($link, $mysql))) { if (substr($mysql, 0, 6) == "select") { while ($row = mysqli_fetch_assoc($res)) { $R[] = $row; } mysqli_free_result($res); $R = array("RESULTADO" => "ok", "CODIGO" => "200", "FILAS" => $R); } else { $R[] = $res; } }