Sicherheitsrelevante Frage

Ich habe einen Blog Artikel verfasst - Wie benutze ich die Suche richtig - Bitte diesen beachten und auch umsetzen bevor Ihr ein Neues Thema eröffnet!

    Hallo zusammen,


    ich habe eine wichtige Frage. Diese betrifft die Bonustipps.


    Seit gestern um 17:00 Uhr ist die Tippabgabe für den Bonustipp "Wer wird Gruppensieger A?" gesperrt, da der Termin dafür abgelaufen ist.
    (2 Punkte



    bis 12.06.2014 17:00)



    Was mir nun aufgefallen ist:
    Die Abgabe dieses Bonustipps ist nur durch das 'disabled'-Tag gesperrt. D.h. wenn ich mit Firebug das 'disabled'-Tag nun aus dem Quellcode raus "operiere", so kann ich wieder ganz normal meinen Tipp ändern und speichern!!!



    Daher nun meine Frage:
    Wird bei der Punktevergabe dieses Bonustipps (der hat keine Punktestaffelung von mehreren Terminen, sondern nur den einen Abgabetermin) überprüft, WANN der Tipp gespeichert wurde?



    Beim speichern der Bonusfrage wird ja ein Datum samt Uhrzeit mit in die Datenbank geschrieben. Meine Angst ist nun aber, dass das System zur Punkteberechnung nicht abfragt, ob der Tipp auch wirklich VOR Abgebefrist gespeichert wurde... Sonst könnte man so munter die Bonustipps manipulieren....




    Wie das bei den "normalen" Tipps aussieht, habe ich noch nicht im Quelltext nachgelesen, werde ich aber auch noch tun!




    Vielen Dank im Voraus und beste Grüße
    Matthias

    Code
    1. function admin_LoadBonusPunkte($id,$date)
    2. {
    3. global $RUNTIME, $CONFIG;
    4. $sql = mysql_query("SELECT pkt FROM ". $CONFIG['MYSQL']['PREFIX'] ."bonus_punkte WHERE bid = '".$id."' AND date > '".$date."' ORDER BY date ASC LIMIT 1");
    5. $row = mysql_fetch_array($sql);
    6. return (int)$row['pkt'];
    7. }


    Der neue Tipp kann zwar mit der Manipulation gespeichert werden, allerdings wird dann auch das neue Datum gespeichert, und dieses wird beim Aktualisieren der Rangliste geprüft. Wenn das Tippdatum nach dem erlaubten ist, wird kein Datensatz gefunden und so auch keine Punkte verteilt.


    Wie das bei den Spieletipps ist weiss ich nicht.

    Die Tipps werden über die Funktion "saveTipps" in der inc.functions gespeichert. Vor der Speicherung wird auf dem Server abgefragt, ob die Tippabgabefrist überschritten ist oder nicht. Wenn sie überschritten ist, wird der Tipp nicht gespeichert. Dasselbe passiert über die Ajax-Speicherung.

    XCRIPT.DE - Home of BuLitipp, the original!
    Zufrieden mit dem Skript und dem Support? Möchtest du uns unterstützen? Dann könntest du etwas

    SPENDEN

Tags