1. PHP / Говнокод #3046

    +161.4

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    $taskName=$_GET[""];
$taskId=$_GET[""];
$objId=$_GET[""];
$catId=$_GET[""];

$this->DoInsertQuery("crm_task","TaskID,RefObjId,ObjectID",array("TaskID"=>$taskId,"RefObjId"=>$catId,"ObjectID"=>$objId));

    а вам слабо?

    Запостил: nur, 19 Апреля 2010

    Комментарии (5) RSS

    • ava guest 19.04.2010 14:14 # −14.6

      показать все, что скрытоНа С++ нет!
      Ответить

      • ava Webkill 19.04.2010 14:28 # −3.2

        Ну ты как тепичный флудер Сходи к психиатру на обследование!
        Ответить

    • ava guest 19.04.2010 15:18 # 0

      Видимо, разработчик просто забыл прописать индексы в $_GET. Наверное это было под конец рабочего дня. :))
      Ответить

    • ava mrbig66 19.04.2010 15:30 # +5.4

      ГК тут в избыточности входных данных. Функция принимает имя таблицы (crm_task), имена полей (TaskID,RefObjId,ObjectID) и значения (массив).
      Второй параметр не нужен, т.к. имена полей можно брать из ключей массива.
      $this->DoInsertQuery(
  "crm_task",
  array("TaskID"=>$taskId,"RefObjId"=>$catId,"ObjectID"=>$objId)
);


      ЗЫ. Надеюсь автор просто не дописал ключи в массиве GET.

      Ну и еще ГК возможен, если в самой функции нет никаких средств фильтрации входных параметров. Иначе sql-инъекция не за горами.
      Ответить

    Добавить комментарий