Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- <?php
- require_once "seguridad/sql_inject.php";
- $bDestroy_session = TRUE;
- $url_redirect = 'index.php';
- $sqlinject = new sql_inject('./log_file_sql.log', $bDestroy_session, $url_redirect);
- session_start();
- error_reporting(0);
- include_once('./kev/pdo.php');
- $User = 'Egi_Ventas';
- $stmt = $con->prepare("SELECT * FROM usuarios WHERE Username = :usuario");
- $stmt->bindParam(':usuario', $User, PDO::PARAM_STR);
- $stmt->execute();
- while ($row = $stmt->fetch())
- {
- $name = $row['Username'];
- $fz = $row['Moneda'];
- $score = $row['Nivel'];
- $dbpassword = $row['Password'];
- }
- ?>
- <?php
- $submit = $_POST['submit'];
- $id = $_POST['id'];
- $oz = $_POST['oz'];
- $password = $_POST['password'];
- if($submit)
- {
- if($password == $dbpassword)
- {
- if($oz > $fz)
- {
- echo("No tienes la cantidad de OZ que quisiste enviar");
- die();
- }
- else
- {
- $sql = $con->prepare("UPDATE usuarios SET Moneda = (Moneda + :oz) WHERE ID = :usuario");
- $sql->bindParam(':oz', $oz, PDO::PARAM_INT);
- $sql->bindParam(':usuario', $id, PDO::PARAM_INT);
- $sql->execute();
- $sqll = $con->prepare("UPDATE usuarios SET Moneda = (Moneda - :oz) WHERE Username = 'Egi_Ventas'");
- $sqll->bindParam(':oz', $oz, PDO::PARAM_INT);
- $sqll->execute();
- $date = date("Y/m/d H:i:s");
- $misl = $con->prepare("INSERT INTO `egiventas`(`Usuario`, `Cantidad`, `Fecha`) VALUES (:id, :oz, :date)");
- $misl->bindParam(':id', $id, PDO::PARAM_INT);
- $misl->bindParam(':oz', $oz, PDO::PARAM_INT);
- $misl->bindParam(':date', $date, PDO::PARAM_STR);
- $misl->execute();
- echo("Has enviado " . $oz . "OZ al usuario ID " . $id);
- }
- }
- else
- {
- echo("Contraseña incorrecta");
- die();
- }
- }
- ?>
Add Comment
Please, Sign In to add comment