¿Seguridad en Mercado Libre?
Primero aclaro que la siguiente información debe ser tomada única y exclusivamente como un descubrimiento que hice en la web.
Yo no hice nada, para obtener el código fuente.
Simplemente estaba navegando en YouTube y apareció el error de código en el anuncio lateral de Mercado Libre
OJO con sus cuentas y con lo que están subiendo. RECOMIENDO CAMBIAR CONTRASEÑAS INMEDIATAMENTE
A continuación pongo el código que debe ser utilizado sólo para fines educativos. Yo no recomiendo, aconsejo o incito a utilizarlo de ninguna manera que no sea el estudio de las sentencias SQL.
? function GrabaOfertas($FGCATEGORIA,$IDSITIO,$IDOFERTA,$IDCATEGORIA,$VENCIMIENTO,$ORGANIZACION, $DIRECCION,$TIPO,$TRANSACCION,$MARCA,$MODELO,$ANIO,$KMS,$LATITUD, $LONGITUD,$PROVINCIA,$CIUDAD,$LOCALIDAD,$CODIGOPOSTAL,$CODIGOAREA, $CODIGOCIUDAD,$CATEGORIA,$DESCRIPCION,$IMAGEN,$LOGO,$NOMBRE,$MONEDA, $PRECIO,$TIENDA,$URL,$PUNTAJE,$SKU){ $sql="select * from CAT_OFERTAS where IDSITIO=$IDSITIO and SKU=’$SKU’ and ORGANIZACION=’$ORGANIZACION’"; if ($SKU=="")$sql="select * from CAT_OFERTAS where URL = ‘$URL’ and IDSITIO=$IDSITIO".($FGCATEGORIA?" and IDCATEGORIA=$IDCATEGORIA ":""); $result= mysql_query($sql); if ($rs = mysql_fetch_array($result)){ $IDOFERTA=$rs['IDOFERTA']; $QUERY="update CAT_OFERTAS set IDSITIO=’$IDSITIO’, IDCATEGORIA=’$IDCATEGORIA’, FECHA=now(), VENCIMIENTO=".($VENCIMIENTO?$VENCIMIENTO:"”").", ORGANIZACION=’$ORGANIZACION’, DIRECCION=’$DIRECCION’, TIPO=’$TIPO’, TRANSACCION=’$TRANSACCION’, MARCA=’$MARCA’, MODELO=’$MODELO’, ANIO=’$ANIO’, KMS=’$KMS’, LATITUD=’$LATITUD’, LONGITUD=’$LONGITUD’, PROVINCIA=’$PROVINCIA’, CIUDAD=’$CIUDAD’, LOCALIDAD=’$LOCALIDAD’, CODIGOPOSTAL=’$CODIGOPOSTAL’, CODIGOAREA=’$CODIGOAREA’, CODIGOCIUDAD=’$CODIGOCIUDAD’, CATEGORIA=’$CATEGORIA’, DESCRIPCION=’$DESCRIPCION’, IMAGEN=’$IMAGEN’, LOGO=’$LOGO’, NOMBRE=’$NOMBRE’, MONEDA=’$MONEDA’, PRECIO=’$PRECIO’, TIENDA=’$TIENDA’, URL=’$URL’, PUNTAJE=’$PUNTAJE’, SKU=’$SKU’, ESTADO=’1′ where IDOFERTA=’$IDOFERTA’"; }else{ $QUERY="insert into CAT_OFERTAS(IDSITIO,IDOFERTA,IDCATEGORIA,FECHA,VENCIMIENTO, ORGANIZACION,DIRECCION,TIPO,TRANSACCION,MARCA,MODELO, ANIO,KMS,LATITUD,LONGITUD,PROVINCIA,CIUDAD,LOCALIDAD, CODIGOPOSTAL,CODIGOAREA,CODIGOCIUDAD,CATEGORIA,DESCRIPCION, IMAGEN,LOGO,NOMBRE,MONEDA,PRECIO,TIENDA,URL,PUNTAJE,ESTADO,SKU) values (‘$IDSITIO’, ”, ‘$IDCATEGORIA’, now(), ".($VENCIMIENTO?$VENCIMIENTO:"”").", ‘$ORGANIZACION’, ‘$DIRECCION’, ‘$TIPO’, ‘$TRANSACCION’, ‘$MARCA’, ‘$MODELO’, ‘$ANIO’, ‘$KMS’, ‘$LATITUD’, ‘$LONGITUD’, ‘$PROVINCIA’, ‘$CIUDAD’, ‘$LOCALIDAD’, ‘$CODIGOPOSTAL’, ‘$CODIGOAREA’, ‘$CODIGOCIUDAD’, ‘$CATEGORIA’, ‘$DESCRIPCION’, ‘$IMAGEN’, ‘$LOGO’, ‘$NOMBRE’, ‘$MONEDA’, ‘$PRECIO’, ‘$TIENDA’, ‘$URL’, ‘$PUNTAJE’, ‘1′, ‘$SKU’)"; } mysql_query($QUERY) or die(mysql_error().$QUERY); }; function smartTrim($text, $max_len, $trim_middle=false, $trim_chars = ‘ … ‘) { $text = trim(ereg_replace("[^A-Za-z0-9ñÑáéíóúÁÉÍÓÚÜ.;\&]"," ",($text))); if (strlen($text) < $max_len) { return $text; } elseif ($trim_middle) { $hasSpace = strpos($text, ‘ ‘); if (!$hasSpace) { $first_half = substr($text, 0, $max_len / 2); $last_half = substr($text, -($max_len – strlen($first_half))); } else { $last_half = substr($text, -($max_len / 2)); $last_half = trim($last_half); $last_space = strrpos($last_half, ‘ ‘); if (!($last_space === false)) { $last_half = substr($last_half, $last_space + 1); } $first_half = substr($text, 0, $max_len – strlen($last_half)); $first_half = trim($first_half); if (substr($text, $max_len – strlen($last_half), 1) == ‘ ‘) { $first_space = $max_len – strlen($last_half); } else { $first_space = strrpos($first_half, ‘ ‘); } if (!($first_space === false)) { $first_half = substr($text, 0, $first_space); } } return $first_half.$trim_chars.$last_half; } else { $trimmed_text = substr($text, 0, $max_len); $trimmed_text = trim($trimmed_text); if (substr($text, $max_len, 1) == ‘ ‘) { $last_space = $max_len; } else { $last_space = strrpos($trimmed_text, ‘ ‘); } if (!($last_space === false)) { $trimmed_text = substr($trimmed_text, 0, $last_space); } return remove_trailing_punctuation($trimmed_text).$trim_chars; } } function remove_trailing_punctuation($text) { return preg_replace("’[^a-zA-Z_0-9]+$’s", ”, $text); } function acentuar($msg) { $msg = ereg_replace("á","á",$msg); $msg = ereg_replace("é","é",$msg); $msg = ereg_replace("í","í",$msg); $msg = ereg_replace("ó","ó",$msg); $msg = ereg_replace("ú","ú",$msg); $msg = ereg_replace("Á","Á",$msg); $msg = ereg_replace("É","É",$msg); $msg = ereg_replace("Í","Í",$msg); $msg = ereg_replace("Ó","Ó",$msg); $msg = ereg_replace("Ú","Ú",$msg); $msg = ereg_replace("ñ","ñ",$msg); $msg = ereg_replace("Ñ","Ñ",$msg); $msg = ereg_replace("à","à",$msg); $msg = ereg_replace("À","À",$msg); $msg = ereg_replace("Ç","Ç",$msg); $msg = ereg_replace("ç","ç",$msg); $msg = ereg_replace("ï","ï",$msg); $msg = ereg_replace("Ï","Ï",$msg); $msg = ereg_replace("ò","ò",$msg); $msg = ereg_replace("Ò","Ò",$msg); $msg = ereg_replace("ü","ü",$msg); $msg = ereg_replace("Ü","Ü",$msg); return $msg; } function boldWords($msg,$cant=3) { $words = explode(" ", $msg); $firstwords=""; for ($c=0;$c < $cant;$c++) { $firstwords.=$words[$c]." "; $words[$c]=""; } return trim("".$firstwords."".implode(" ", $words)); } function make_seed() { list($usec, $sec) = explode(‘ ‘, microtime()); return (float) $sec + ((float) $usec * 100000); } function updateNavOfertas($IDTAG,$INSERTIDS,$IDS,$HOST){ global $conn; $SQL="insert into NAV_OFERTATAGS(IDOFERTA,IDTAG,HOST) values $INSERTIDS "; if ($INSERTIDS & $IDTAG) mysql_query($SQL); srand(make_seed()); $MAX=10; $randval = rand(1,$MAX); $SQL="UPDATE NAV_OFERTATAGS set IMPRESIONES=IMPRESIONES+$MAX , CTR=CLICS/(IMPRESIONES)*100 WHERE IDOFERTA in ($IDS) and IDTAG=$IDTAG and HOST=’$HOST’ "; if ($IDTAG & $randval==$MAX ) mysql_query($SQL); } function updateNavObjects($IDTAG,$INSERTIDSOBJ,$IDSOBJ,$HOST){ global $conn; $SQL="insert into NAV_OBJECTTAGS(IDOBJECT,IDTAG,HOST) values $INSERTIDSOBJ "; if ($INSERTIDS & $IDTAG) mysql_query($SQL); srand(make_seed()); $MAX=10; $randval = rand(1,$MAX); $SQL="UPDATE NAV_OBJECTTAGS set IMPRESIONES=IMPRESIONES+$MAX , CTR=CLICS/(IMPRESIONES)*100 WHERE IDOBJECT in ($IDSOBJ) and IDTAG=$IDTAG and HOST=’$HOST’ "; if ($IDTAG & $randval==$MAX ) mysql_query($SQL); } ?>
