Prośba o sprawdzenie skryptu czy jest bezpieczny

0

Witam

Czy ktoś może przenalizować ten skrypt? Bo chodzi o wygenerowanie listy transakcji które znajdują się na bitbay. Tylko kwestia czy to jest bezpieczne i czy np. ktoś nie przeleje sobie pieniędzy z portfela ;)

Tu jest instrukcja skryptu

Przed uruchomieniem skryptu należy zalogować się na swoje konto na giełdzie bitbay.net oraz wygenerować klucze dostępu do API. Generując klucze wystarczy, że w uprawnieniach klucza wybierzesz "historia".
Tu wygenerujesz klucze: //auth.bitbay.net/settings/api
Wygenerowany klucz publiczny oraz prywatny zastępujemy w skrypcie w zmiennych: $klucz_publiczny oraz $kucz_prywatny. Wgrywamy go na serwer http://moja.domena.pl/transactions.php?rok=2017ce (http://moja.domena.pl/transactions.php?rok=2017). Wynikiem będzie plik CSV.

<?php
 
$klucz_publiczny = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX";
$kucz_prywatny = "XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX";
 
 
   if(!$_GET['rok'] or preg_match('/^[0-9]{4}$/D', $_GET['rok'])) {
    $types = array("BID" => "kupno", "ASK" => "sprzedaż");
    $transactions = json_decode(BitBay_Trading_Api("transactions", $klucz_publiczny, $kucz_prywatny));
       if(!$transactions->{'code'}) {
        echo "\"data\"|\"typ\"|\"waluta\"|\"ilość kryptowaluty\"|\"kurs\"|\"ilość waluty\"\n";
           foreach ($transactions as $transaction) {
               if(!$_GET['rok'] or ($_GET['rok'] and $_GET['rok'] == date("Y", strtotime($transaction->date)))) {
                echo "\"".$transaction->date."\"|\"".$types[$transaction->type]."\"|\"".$transaction->market."\"|\"".$transaction->amount."\"|\"".$transaction->rate."\"|\"".$transaction->price."\"\n";
               }
           }
        header("Content-type: text/csv");
        header("Content-Disposition: attachment; filename=transactions".(preg_match('/^[0-9]{4}$/D', $_GET['rok']) ? "-".$_GET['rok'] : "").".csv");
        header("Pragma: no-cache");
        header("Expires: 0");
 
       } else {
        echo "ERROR: ".$transactions->{'code'}." ".$transactions->{'message'}."";
       }
 
   } else {
    echo "ERROR: rok w złym formacie, wymagany: RRRR";
   }
 
 
function BitBay_Trading_Api($method, $klucz_publiczny, $kucz_prywatny, $params = array()) {
    $params["method"] = $method;        
    $params["moment"] = time();
 
    $post = http_build_query($params, "", "&");
    $sign = hash_hmac("sha512", $post, $kucz_prywatny);
    $headers = array(
        "API-Key: " . $klucz_publiczny,
        "API-Hash: " . $sign,
    );
 
    $curl = curl_init();
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($curl, CURLOPT_URL, "https://bitbay.net/API/Trading/tradingApi.php");
    curl_setopt($curl, CURLOPT_POST, true);
    curl_setopt($curl, CURLOPT_POSTFIELDS, $post);
    curl_setopt($curl, CURLOPT_HTTPHEADER, $headers);
    $ret = curl_exec($curl);
 
    return $ret;
}
 
?>

Źródło https://kazuko.pl/page/listTransactionsBitBayNet

0

@LynxBings Ty na poważnie ? W instrukcji wyraźnie pisze jakie uprawnienia wystarczą by wygenerować raport!
Czytaj instrukcje a nie śmieć na forum!

0
PiDev napisał(a):

@LynxBings Ty na poważnie ? W instrukcji wyraźnie pisze jakie uprawnienia wystarczą by wygenerować raport!
Czytaj instrukcje a nie śmieć na forum!

No poważnie i nadal nie wiem czy skrypt wygeneruje raport...

0

Ale syf, napisz gościowi, by nie wstawiał czegoś takiego na publiczne repo bo wstyd. Zastanawiam się skąd w ogóle tam się wzieła tablica GET, już nie wspominając o tym slashowaniu :D

Generalnie odradzam Ci korzystanie z tego śmiecia. Do tego Autor tego z tego co wywnioskowałem po jego mailach ma w dupie bezpieczeństwo swojego skryptu.
Do tego jeszcze ten wymowny tekścik o wsparciu lol :D

0

Ok czyli strach używać tego skryptu :)

1 użytkowników online, w tym zalogowanych: 0, gości: 1