Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5704)
2. C++ (2739)
3. Куча (2349)
4. JavaScript (2028)
5. C# (1928)
6. Java (1502)
7. Си (1111)
8. Pascal (647)
9. Python (583)
10. 1C (536)
11. SQL (432)
12. ActionScript (292)
13. Objective C (202)
14. bash (198)
15. Perl (194)
16. Assembler (146)
17. Ruby (145)
18. VisualBasic (138)
19. Lua (49)
20. Go (30)
21. Swift (27)
22. Haskell (26)
23. Kotlin (14)

1. PHP / Говнокод #17411

   +156

   1. 1
   2. 2
   3. 3
   4. 4
   5. 5
   6. 6
   7. 7
   8. 8
   9. 9

   $query = "INSERT INTO news (title, img_url, subtitle, content, date, time, id) 
   	VALUES (\"" .
   	$_POST["title"] . "\", \"" .
   	$_POST["img_url"] . "\", \"" .
   	$_POST["subtitle"] . "\", \"" .
   	$_POST["content"] . "\", \"" .
   	date("Y-m-d") . "\", \"" .
   	time() . "\", " .
   	DEFAULT . ");";

   только начал php. уверень, есть решение поэлегантнее этого

   Запостил: artembegood, 05 Января 2015

   Tweet

   Комментарии (31) RSS

   • tirinox 05.01.2015 23:18 # 0

     Тролль?
     Я юзаю самодельную эмуляцию prepared statements поверх mysqli.

     Ответить

     • guest 06.01.2015 03:26 # +3

       Вы пхпшиники реально тупые!! Ни в одном языке в мире уже лет 20 как не реализуют эскецпинг вручную

       Ответить

       • tirinox 06.01.2015 10:38 # 0

         Так я и не реализую. Он есть. А вот нормальных плейсхолдеров нет.

         Ответить

         • bormand 06.01.2015 10:41 # 0

           Нормальных это каких?

           Ответить

           • Fike 06.01.2015 10:47 # 0

             Человека волнует, что он не может подставить имя таблицы и limit в запрос в виде параметров. Да потому что это не параметры, блядь!

             Ответить

             • bormand 06.01.2015 12:09 # +2

               Ну и самое обидное - массивы для field in (1,2,3).
               
               В теории то можно замутить всё это, но тут нужно парсить SQL, делать контекстно-зависимую экранировку и добавление кавычек (таблицы и поля заворачивать в ``, числа для лимитов оставлять без кавычек, массивы раскрывать в пачку плейсхолдеров и т.п.)... И всё это для каждой поддерживаемой СУБД... Не особо приятно, но реализуемо.

               Ответить

               • bormand 06.01.2015 12:14 # 0

                 P.S. Только нужно ли это, если есть ORM'ы и построители запросов, в которых все это прекрасно параметризуется.

                 Ответить

                 • tirinox 06.01.2015 15:13 # 0

                   Не хочется таскать и понимать это многомегабайтное гумно.

                   Ответить

                   • Stallman 06.01.2015 15:20 # +4

                     >Не хочется понимать
                     Вы правильно выбрали язык.

                     Ответить

                     • Fike 06.01.2015 17:48 # −1

                       все уже видели, но все равно не могу не оставить
                       
                       http://www.youtube.com/watch?v=KVyGiE5Y2a8

                       Ответить

                     • guest 06.01.2015 21:07 # +1

                       )))))))))))))) лучший коммент

                       Ответить

                     • tirinox 07.01.2015 13:12 # 0

                       Да, правильно. Потому что для своих целей я прекрасно справился с написанием своего скромного ОРМ и я его понимаю. А читать мегабайты чужого кода (большая часть которого и не используется), чтобы понять, где грабли. Нет уж, увольте.

                       Ответить

                       • Stallman 07.01.2015 16:51 # 0

                         Фреймворк свой у тебя тоже, поди, есть.

                         Ответить

                   • Fike 06.01.2015 17:48 # +2

                     Действительно, зачем может быть нужна высокоуровневая абстракция? Я же могу вызвать mysql_query прямо в шаблоне.

                     Ответить

                     • tirinox 07.01.2015 13:08 # 0

                       Вопрос не в том нужна/не нужна, а своя или чужая.

                       Ответить

                       • Fike 07.01.2015 14:01 # 0

                         Вот только не говори мне, что ты стараешься все писать сам

                         Ответить

                       • bormand 07.01.2015 16:44 # 0

                         > своя или чужая
                         У пациента обнаружен синдром Not Invented Here. Требуется срочная госпитализация.

                         Ответить

                     • Stallman 07.01.2015 16:59 # +1

                       https://github.com/zencart/zc-v1-series/blob/v160/includes/templates/template_default/popup_attributes_qty_prices/tpl_main_page.php#L36

                       Ответить

                       • Fike 07.01.2015 17:02 # 0

                         я одного не понимаю, нахуя им вообще гит и гитхаб?

                         Ответить

                       • Fike 07.01.2015 17:03 # 0

                         ААААААААААААА
                         
                         https://saucelabs.com/u/zencart

                         Ответить

               • guest 06.01.2015 20:58 # +1

                 В мсскл можно передать массив. А каловая база мускульной нинужна

                 Ответить

                 • Lokich 10.01.2015 00:22 # 0

                   это как же интересно?

                   Ответить

                   • guest 10.01.2015 05:25 # 0

                     Можно хмелем, можно темповой таблицей. И то и другое передают парамеиромм и парсят средством бд

                     Ответить

                     • bormand 10.01.2015 08:41 # 0

                       А, с парсингом то и в постгресе запросто передается. А временной таблицей - вообще в любой СУБД.

                       Ответить

   • inkanus-gray 05.01.2015 23:25 # +4

     Решение поэлегантнее внести SQL-инъекцию? Конечно, есть! Сразу отправлять всё, что пришло в $_POST, как sql-запрос.
     
     В $_POST["title"] может прийти кавычка, и тогда запрос разорвёт на части.
     
     *****
     
     А если серьёзно, то рекомендую ознакомиться с подготовленными выражениями и со штатными функциями экранирования. Вот для старта:
     • http://php.net/manual/ru/mysqli.quickstart.prepared-statements.php
     • http://php.net/manual/ru/mysqli.real-escape-string.php
     (вместо mysqli может быть движок соответствующей СУБД или PDO)

     Ответить

     • guest 06.01.2015 03:24 # +1

       Препеард стейтмент не используй @ пыхамакакой тупорылой с инъекциями будь

       Ответить

     • gost 06.01.2015 16:55 # +2

       >Решение поэлегантнее внести SQL-инъекцию? Конечно, есть! Сразу отправлять всё, что пришло в $_POST, как sql-запрос.
       В $_POST - неэлегантно. Лучше в $_GET['query'].
       А совсем идеально - eval($_GET['cmd']).

       Ответить

   • guest 06.01.2015 03:25 # +2

     На пхп не может быть элегантных решений, и тот факт что новичку сразу создал такое говно тому показатель

     Ответить

   • Stallman 06.01.2015 09:39 # 0

     >DEFAULT
     Толсто. http://ideone.com/tCYy8B

     Ответить

   • Fike 06.01.2015 10:46 # 0

     ревень-уверень

     Ответить

   • myaut 06.01.2015 11:28 # +1

     > только начал php. уверень, есть решение поэлегантнее этого
     Конечно, есть немало языков, которые элегантнее PHP. Brainfuck, например.

     Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только во вторник, пятницу или субботу

   Помни, guest, за тобой могут следить!

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *