Classifica del mio gioco, mi entrano i lamer, perche?

[gennahouse]

Ciao a tutti, io ho un sito internet che ovviamente non linkerò per evitare spam che fa registrare gli utenti al mio server dove ho un gioco, lo stesso vale per la classifica, una volta ho parlato con uno di loro e mi ha detto che usa la blind o php injection una cosa del genere, io vi faccio vedere i codici, spero che qualcuno mi dia una mano, sono disperato.

Classifica:

Codice PHP:

<?php

   session_start (); //Session starten//

include ("config_player.php");

$sql = "SELECT * FROM player WHERE level<'100' ORDER BY level DESC LIMIT 500" or die('ERRORE!');



      $i = "0" ;

   $ergebnis = mysql_query($sql);

 $ergebnis = mysql_query($sql);

while($row = mysql_fetch_object($ergebnis))

   {

   $i = $i + 1 ;

   echo "

   <center><table border=0>

  <tr>

    <th width=\"80\"><font color=red>$i</font></th>

    <th width=\"200\"><font color=red>$row->name</font></th>

    <th width=\"200\"><font color=green>$row->exp</font></th>

    <th width=\"200\"><font color=red>$row->level</font></th>

  </tr>



</table></center>";  

   }

echo "</td>

</tr>

</table>

</td>

</tr>

</table>

<tr>

</td>

</tr>

</table>

</body>

</html>" ;

?>

c'è un include con config_player che va a prendere nel database dove ho il gioco tutti i dati dei giocatori.



tra un po metto anche quella di registrazione edito cosi non faccio spam.
Spero di ricevere aiuto, sono disperato, questi lamer sono insopportabili.


Grazie a tutti buona giornata

[Alhazred]

Esatto, è il codice di registrazione che serve, non quello che hai messo fin'ora.
Tra l'altro anche qui ci sono cose da rivedere.
Esegui 2 volte di seguito la query
$ergebnis = mysql_query($sql);
a che scopo? Non basta farla una sola volta?
Inoltre invece di creare una tabella con più righe, crei una tabella con una riga per ogni giocatore trovato dalla query, è così che vuoi costruire il risultato? Penso sia una cosa poco funzionale, dovresti mettere l'apertura e la chiusura del tag <table> fuori dal ciclo while.

[gennahouse]

quindi cosa mi consigli di fare?

[FraXD]

Credo sia ovvia la coas, elimina una riga

codice:

$ergebnis = mysql_query($sql);
$ergebnis = mysql_query($sql);

Trasformato in:

codice:

$ergebnis = mysql_query($sql);

[Alhazred]

Per la query ti consiglio esattamente ciò che ti è stato detto qui sopra.

Per la tabella, io la farei così

Codice PHP:

echo '<center><table border=0>
        <tr>
            <th width="80">Posizione</th>
            <th width="200">Nome</th>
            <th width="200">Esperienza</th>
            <th width="200">Livello</th>
        </tr>';
while($row = mysql_fetch_object($ergebnis))
{
   $i = $i + 1 ;

   echo '<tr>
            <td><font color=red>$i</font></td>
            <td><font color=red>$row->name</font></td>
            <td><font color=green>$row->exp</font></td>
            <td><font color=red>$row->level</font></td>
        </tr>';
} 
echo "</table></center>";