Говнокод #15722 — PHP — Говнокод.ру

PHP / Говнокод #15722

+163
1. 1
```
$model = new $_POST['form_model'];
```
Краткость,
сестра таланта,
Yii,
FormController,
...

Запостил: BroadcastAddress, 10 Апреля 2014

Tweet
Комментарии (43) RSS
- inkanus-gray 10.04.2014 21:35 # +2
  
  Идеально!
  Ответить
- Lure Of Chaos 11.04.2014 06:22 # +4
  
  а я и не знал, что у этой проститутки такая дырка!
  Ответить
  - bormand 11.04.2014 06:33 # +2
    
    А может там выше if (array_key_exists($_POST['form_model'], $allowed_models)) или какое-нибудь if (model_exists($_POST['form_model'])) ?
    Ответить
    - Vindicar 11.04.2014 07:54 # +1
      
      Хорошо если так. Если нет, то это просто... волшебно.
      Ответить
      
      bormand 11.04.2014 08:23 # 0
      
      Волшебно было бы так:
      $controller = new $_POST['controller']; $controller->$_POST['action']();
      Ответить
      
      WGH 11.04.2014 14:38 # +1
      
      Аргументы забыл.
      
      call_user_func_array(array(new $_POST['controller'], $_POST['action']), $_POST['args']);
      Ответить
      
      bormand 11.04.2014 15:15 # 0
      
      А как массив пропихнуть в args?
      Ответить
      
      WGH 11.04.2014 15:22 # 0
      
      Да, действительно, не подумал.
      Ну, можно через eval :)
      Ответить
      
      bormand 11.04.2014 15:28 # +2
      
      eval($_POST('code'));
      Кр.-с.т.
      Ответить
      
      wvxvw 11.04.2014 17:05 # +1
      
      > А как массив пропихнуть в args?
      ?x=1&x=2 По-идее должен создать массив.
      Ответить
      
      Vindicar 11.04.2014 17:43 # +2
      
      переопределит. только так:
      
      x[]=1&x[]=2
      Ответить
      
      wvxvw 11.04.2014 18:51 # +1
      
      Какая-то исключитльно ПХП-стайл совместимость:
      
      >>> from urlparse import parse_qs >>> parse_qs('x=1&x=2') {'x': ['1', '2']}
      Ответить
      
      bormand 11.04.2014 19:00 # +1
      
      В каком RFC эти массивы описаны? Если ни в каком - то вполне логичный уровень "совместимости" :)
      Ответить
      
      wvxvw 11.04.2014 19:47 # 0
      
      Задался целью, но не могу найти где этот момент обсуждается. Вообще не понятно, что это за формат. Тем не менее, Дотнет, Флеш и утилиты Апачей вроде как понимают питоновский вариант (за ПХП-вариант не поручусь). Ж.квери, интересно в этом смысле, вроде вообще не умеет. Браузеры сами не парсят.
      Я подозреваю, что формат отсюда:
      
      application/x-www-form-urlencoded
      
      This is the default content type. Forms submitted with this content type must be encoded as follows:
      
      Control names and values are escaped. Space characters are replaced by `+', and then reserved characters are escaped as described in [RFC1738], section 2.2: Non-alphanumeric characters are replaced by `%HH', a percent sign and two hexadecimal digits representing the ASCII code of the character. Line breaks are represented as "CR LF" pairs (i.e., `%0D%0A').
      The control names/values are listed in the order they appear in the document. The name is separated from the value by `=' and name/value pairs are separated from each other by `&'.
      
      И на этом объяснение заканчивается.
      Ответить
      
      wvxvw 11.04.2014 19:49 # 0
      
      Что интересно, следуя этому описанию, юникодные значения в таком виде вообще никак не послать...
      Ответить
      
      guest 12.04.2014 01:34 # 0
      
      Так их и посылают в кодировке страницы вроде как...
      Ответить
      
      inkanus-gray 12.04.2014 08:29 # 0
      
      А если кодировка страницы не utf-8, а ucs-2, ucs-4, utf-16, utf-32?
      Ответить
      
      wvxvw 12.04.2014 09:55 # +1
      
      Ну это как бы нет возможности всегда сделать. Например, не известна кодовая страница. Я видел другие вариант: с escapeMultibyte - каждый байт сериализации юникодного формата представляется как аски, а потом уже кодируется.
      Ответить
      
      guest 12.04.2014 22:13 # 0
      
      Т.е. в utf8 а потом каждый байт эксейпить? Ну так браузеры вроде по дефолту так и делают.
      Ответить
      
      wvxvw 13.04.2014 16:05 # 0
      
      Ну только это все равно плохо, т.как нет гарантий, что их правильно прочитают. формат то предписывает только аски.
      Ответить
      
      bormand 13.04.2014 18:45 # 0
      
      > формат то предписывает только аски
      Не совсем.
      
      RFC 3986 об этом говорит так:
      Percent-encoded octets (Section 2.1) may be used within a URI to represent characters outside the range of the US-ASCII coded character set if this representation is allowed by the scheme or by the protocol element in which the URI is referenced. Such a definition should specify the character encoding used to map those characters to octets prior to being percent-encoded for the URI.
      
      Т.е. сваливает указание кодировки и набора допустимых символов на более конкретные спеки.
      Ответить
      
      bormand 13.04.2014 18:58 # 0
      
      А вот походу и ответ (из спеки HTML4):
      Note. The "get" method restricts form data set values to ASCII characters. Only the "post" method (with enctype="multipart/form-data") is specified to cover the entire [ISO10646] character set.
      
      Т.е. в get'е вообще соснули хуйцов, и в post'е без мультипарта тоже...
      Ответить
      
      wvxvw 13.04.2014 19:53 # 0
      
      А, они в ХТМЛ5 это поменяли.
      
      В 4 нет ни слова про юникод:
      http://www.w3.org/TR/html401/interact/forms.html#h-17.13.4.1
      
      В пятом:
      http://www.w3.org/TR/html5/forms.html#url-encoded-form-data
      Просто офигительная схема :)
      Ответить
      
      guest 13.04.2014 21:01 # +1
      
      Web: фрактал костыля, ёба.
      Ответить
      
      Soul_re@ver 13.04.2014 21:58 # +3
      
      Так что угодно существующее приличное время и сохраняющее обратную совместимость на 90% состоит из костылей.
      
      Яркий пример х86-64. Я считаю ситуацию когда на 64 битном процессоре команда возвращающая 64битное значение кладёт его в два 32битных регистра ненормальной.
      Ответить
      
      guest 13.04.2014 23:53 # −2
      
      Так нехуй байтоёбствовать.
      Ответить
      
      bormand 14.04.2014 00:31 # 0
      
      > Так нехуй байтоёбствовать.
      
      И причем тут байтоебство? Асм тут приведен только как один из примеров. Не нравится - бери за пример жабу с ее кучей легаси говна, которое ради совместимости не могут перепилить.
      Ответить
      
      guest 14.04.2014 01:39 # +1
      
      Даже жаба близко не имеет такого количества нелогичного пиздеца, как веб.
      Ответить
      
      roman-kashitsyn 14.04.2014 08:51 # +6
      
      > Даже жаба близко не имеет такого количества нелогичного пиздеца, как веб.
      Возможно, ты просто ещё недостаточно хорошо знаешь жабу
      Ответить
      
      guest 14.04.2014 10:03 # +1
      
      Я и веб недостаточно хорошо знаю, но того, что я узнал, уже хватило.
      Ответить
      
      guest 14.04.2014 10:04 # 0
      
      >Я считаю ситуацию когда на 64 битном процессоре команда возвращающая 64битное значение кладёт его в два 32битных регистра ненормальной.
      А его нельзя адресовать как 64-битный регистр?
      Ответить
      
      Soul_re@ver 14.04.2014 13:26 # 0
      
      eax и ecx? Нет.
      
      приходится rcx двигать на 32 разряда влево и or'ить с rax
      Ответить
      
      bormand 14.04.2014 13:27 # 0
      
      > приходится rcx двигать на 32 разряда влево и or'ить с rax
      
      shld rcx, rax, 32 ; как-то так, или я туплю?
      Ответить
      
      Soul_re@ver 14.04.2014 14:39 # +2
      
      Не выйдет: нули в старшей половине мешают. Приходится делать так:
      
      shl $32, %%rdx; or %%rdx, %%rax;
      И я спутал rcx и rdx.
      Ответить
      
      bormand 14.04.2014 16:46 # 0
      
      > Не выйдет: нули в старшей половине мешают.
      Ах да, совсем забыл про них.
      
      Кстати, а умножение 64х64 разве медленнее, чем 32х32? Имхо если надо 64 битный результат в одном регистре - можно поюзать настоящее 64 битное умножение, предварительно растянув операнды...
      Ответить
      
      Soul_re@ver 14.04.2014 18:11 # 0
      
      Из двух регистров один умножением сделать?
      
      Команда вызвавшая у меня батхёрт была rdtsc. С ней к сожалению ничего не сделать. Только последствия разгребать.
      Ответить
      
      bormand 14.04.2014 18:15 # +1
      
      > Команда вызвавшая у меня батхёрт была rdtsc.
      Ааа, да я думал, что ты умножал числа и получил ответ в двух регистрах. С rdtsc да, хер че сделаешь.
      Ответить
      
      guest 14.04.2014 20:44 # 0
      
      И часто ты ее вызываешь?
      
      Вот самопальная веб-сериализация вызывает у меня "фу, блядь, фу, нахуй".
      Ответить
      
      BroadcastAddress 17.04.2014 20:25 # 0
      
      почти ... if($model->save()){...}
      Ответить
    - BroadcastAddress 17.04.2014 20:24 # 0
      
      выше там только проверка на надежность дырки ... if (isset($_POST['form_model'])){....}
      Ответить
  - BroadcastAddress 17.04.2014 20:23 # 0
    
    Ну это не yii дыра, это дыра разработчика .. он так модель для формы выбирал ....
    Ответить
- Sc0rp10 04.05.2014 14:46 # 0
  
  А можно пруф, что это именно в yii написано, а не в чьём-то коде?
  Ответить
  - BroadcastAddress 04.05.2014 21:21 # 0
    
    Это не в самом Yii, это так чел вызывал модели в своем FormController. И весь сайт используя Yii. Отписаться сразу не было возможности ..
    Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Семь раз отмерь — один отрежь, guest!

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

PHP / Говнокод #15722

Комментарии (43) RSS

Добавить комментарий