[PHP / OOP / Mysql] HabboCMS - DEV

Changelog:
intern.php?do=news&id= wurde Programmiert.

----
Update:
Mysql Injection wurde gepatched, war vorher in den News möglich ;>
Und XSS Lücke wurde geschlossen.

Bekannte Lücken:
KEINE!

Hi,

[PHP]
if ($siteCore->getVar("client") == 1 && $userCore->rank <= 4)
{
echo $siteCore->getCode("client");
}
[/PHP]

Falls nur Client arbeiten anstehen (Katalog o.ä) kann man kurzerhand via Housekeeping den Client Sperren.
Dann können nur noch Staff Mitglieder ab Rank 5 einchecken.

/Update

Admin Panel, das Design kommt von Falcon Design, da mache ich kein eigenes

Sobald mein Server wieder online ist

[code=php]
<?php
include_once '../global.php';

if (isset($_POST['username']) && isset($_POST['passwort']))
{
if ($_POST['username'] != "" $_POST['passwort'] != null)
{
$username = $siteCore->htmlEscape($_POST['username']);
$passwort = $siteCore->htmlEscape(md5($_POST['passwort']));

$query = $mysqlCore->mysqlQuery("SELECT * FROM users WHERE username = '".$username."'");
$query = mysql_fetch_array($query);

if ($query['rank'] >= 5)
{
if ($username != $query['username'] $passwort['password'])
{
// Passwort Username war falsch
header("Location: ?page=login&error=falscheDaten");
}
elseif($passwort == "")
{
// Kein Passwort
header("Location: ?page=login&error=keinPwd");
}
elseif($username == "")
{
// Kein Username
header("Location: ?page=login&error=keinUsername");
}
else
{
$_SESSION['admin'] = $username;
header("Location: intern.php?page=dashboard");
}
}
else
{
// Keine Berechtigung
header("Location: ?page=login&error=noAdmin");
}
}
else
{
// Keine Felder dürfen leer sein!
header("Location: ?page=login&error=leereFelder");
}
}
else
{
// GET Error
}
?>
[/PHP]

Dashboard wurde nun angefangen -8)

Soo, hatte ne kleine Pause eingelegt, dann ist mir aber was eingefallen was ich noch machen könnte.
Seht selbst:

Das ganze ist noch weit in der BETA..

<?php
		$query = $mysqlCore->mysqlQuery("SELECT * FROM cms_gaestebuch WHERE user_id = '".$siteCore->escape($HabboId)."' LIMIT 3 DESC");

		while ($row = mysql_fetch_assoc($query)) {
			echo '
					<textarea cols="35" rows="4">'.$row['eintrag_von'].'</textarea>';
		}
		?>

Die Demo ist schon fertig, nur mein Server ist noch Offline, ich werde die Live Demo posten sobald der Domain Server online ist.

md5

[code=php]
$RegisterCore->RegNewUser($sec_username, md5($sec_passwort1), $email, $start_taler, $start_pixel, $start_motto, $startstyle_m);
[/PHP]

Das würde ich nur zu gerne sehen.
Das geht nur wenn sie irgentwo in der Hash Datenbank von diesen Hash Decrypt Webseiten abgelegt sind.
Auserdem ist mir die Verschlüsselungsmethode egal, soll jeder doch so machen wie er will.
Kann man ja schnell ändern..
Oder soll ich es via Config machen?

Hatte Probleme mit den Homes, Gästebuch einträge etc sind nun aber fertig.
Von Style leider noch nicht.