1. PHP / Говнокод #19728

    +2

    1. 1
    ....iv>'.(isset($row['add_descr']) ? $row['add_descr']:'').'</td....

    угу, в реальном сайте, который на нашей (говно)поддержке

    Запостил: kostya1337, 31 Марта 2016

    Комментарии (21) RSS

    • ava j123123 31.03.2016 16:25 # 0

      Не сметь гнать на на goto! Лучше вместе обосрем constexpr-ы
      Ответить

    • ava guest 01.04.2016 17:53 # 0

      Видать ктото раздражают Notice
      Ответить

    • ava d_fomenok 01.04.2016 22:20 # 0

      @$row['add_descr'] ?: ''
      Ответить

    • ava Morris 02.04.2016 02:26 # +1

      Расскажите, что не так? Ну кроме может передачи неподготовленных данных в представление.
      Ответить

      • ava guest 02.04.2016 02:37 # +1

        Вы наверное в основном на PHP пишите, да?
        Ответить

      • ava inkanus-gray 02.04.2016 11:35 # +2

        Ну хотя бы <что-то, похожее на div>...<что-то, похожее на /td>

        Допустим, с вёрсткой всё в порядке. Тогда можно сделать примерно так:
        <?php

if (!isset($row['add_descr'])) {
    $row['add_descr'] = '';
}

?>

...

<td><?=$row['add_descr']?></td>


        Тогда шаблон читается легче.
        Ответить

        • ava guest 02.04.2016 11:37 # +1

          add_descr = "a<b"
          и всё, пиздец
          Ответить

          • ava inkanus-gray 02.04.2016 11:38 # 0

            А вдруг там уже заэкранировано? Ну а вдруг?
            Ответить

            • ava guest 02.04.2016 11:43 # +1

              Не думаю. Вопрос экранирования в PHP сообществе еще не решен

              http://goo.gl/uFyieH
              Ответить

              • ava inkanus-gray 02.04.2016 11:45 # 0

                Там про SQL-инъекции. А вдруг от HTML-инъекций они уже научились защищаться?
                Ответить

                • ava bormand 02.04.2016 11:48 # 0

                  Ну вот в джумле какой-то костыль как-то прикрутили. Я не разбирался, как именно, но шаблон злобно экранирует всё подряд, пока явно не отключишь эту фичу (если очень надо вывалить сырой html).
                  Ответить

                  • ava guest 02.04.2016 11:50 # 0

                    ну да
                    в гугл "joomla xss", гг
                    Ответить

                    • ava bormand 02.04.2016 11:53 # 0

                      Хех, если человек хочет прострелить себе ногу - он её прострелит...
                      Ответить

                • ava guest 02.04.2016 11:48 # +1

                  нет
                  http://goo.gl/7D5aFA
                  Ответить

        • ava guest 02.04.2016 13:24 # 0

          а можно и просто <td><?=$row['add_descr']?></td

          таки
          public function actionFoo(){
          $s = 'blabla'.'bla';
          $s1 = 'blabla'.null.'bla';
          if ($s1 === $s){
          echo 'wow';
          }
          }
          Ответить

          • ava Morris 02.04.2016 14:02 # +1

            Получим log забитый notice-ами -> не обращаем на них внимания -> рано или поздно пропускаем критичный notice.
            Ответить

            • ava guest 02.04.2016 15:19 # 0

              открываем нотпад++ -> профит!
              https://habrahabr.ru/company/payonline/blog/280530/
              Ответить

    Добавить комментарий