1. PHP / Говнокод #2178

    +156

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    if(strstr($username, '**')) {

$admin = 1;
$username = str_replace('**', '', $username);
$_SESSION['admin'] = 1;

} else {

$admin = 0;

}

    Вот нашел случайно... Судя по всему этот кусок в каком-то коммерческом проекте
    "Actually, it turns out there’s an even simpler way, and that Adam P’s predecessor discovered and implemented it for their client’s fairly large ecommerce website."

    Запостил: furang, 25 Ноября 2009

    Комментарии (6) RSS

    • ava guest 25.11.2009 15:18 # +2

      любой логин с ** у нас значит админ ... замечательно ... дайте ка мне ссылку на этот сайт ;)
      Ответить

      • ava Suor 27.11.2009 13:41 # 0

        с таким логином зарегится поди нельзя
        Ответить

        • ava guest 29.11.2009 22:22 # 0

          причему тут зарегиться! главное написать это при входе! если у тебя логин "asd" вводишь при входе asd** и ты админ ...
          Ответить

    • ava S@nderS 25.11.2009 20:22 # 0

      http://thedailywtf.com/Comments/Starring-The-Admin.aspx?pg=1
      Ответить

    • ava guest 27.11.2009 18:39 # 0

      и таки можно приляпать XSS (?admin=1)
      Ответить

      • ava ivmaroz 30.11.2009 12:53 # 0

        Вы еще программируете с register_globals=on?
        Тогда мы идем к Вам.
        Ответить

    Добавить комментарий