1. JavaScript / Говнокод #6522

    +38

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    Drupal.parseJson = function (data) {
  if ((data.substring(0, 1) != '{') && (data.substring(0, 1) != '[')) {
    return { status: 0, data: data.length ? data : Drupal.t('Unspecified error') };
  }
  return eval('(' + data + ');');
};

    no comments. и как я понимаю нормальные люди делают eval завернутый в try

    Запостил: brainstorm, 30 Апреля 2011

    Комментарии (18) RSS

    • ava Lure Of Chaos 30.04.2011 22:08 # +1

      друпал надрупал.
      в принципе, хватило бы eval'а
      Ответить

      • ava brainstorm 30.04.2011 22:15 # 0

        try по моему не хватает на случай если в eval говно улетит
        Ответить

        • ava Lure Of Chaos 30.04.2011 22:17 # +1

          туда может улететь вообще что угодно, привет code injection!
          Ответить

          • ava brainstorm 30.04.2011 22:23 # 0

            баян.
            обычно eval делается над темчто приходит с твоего же сервера по конкретному запросу.(да и JS другое вроде как и не должен позволять)
            Ответить

            • ava Lure Of Chaos 30.04.2011 22:29 # 0

              это не "баян", а дело первой необходимости!
              Ответить

              • ava brainstorm 30.04.2011 22:42 # +1

                то есть я сам себе в своем JSON ответе своего приложения буду подсовывать левый код? оебу
                Ответить

                • ava Lure Of Chaos 30.04.2011 22:46 # 0

                  а кто мешает сделать подлог?
                  Ответить

                  • ava brainstorm 30.04.2011 22:59 # 0

                    ну бля. если юзеру надо - пусть лезет на сайт с отладчиком JS
                    меняет в нем переменную URL, и весь код так, чтобы json запрос ломился на другой домен.
                    ога. кстати ща это низя делать насколько я знаю.
                    Ответить

                    • ava rO_ot 01.05.2011 12:35 # +1

                      С JSONP можно
                      Ответить

                      • ava brainstorm 01.05.2011 12:51 # 0

                        ну так у нас без подкладок.
                        вообще понравилась реализация через new Function("return " + data) в jQuery.parseJSON больше чем eval. если на то пошло.
                        Ответить

              • ava guest 04.05.2011 04:39 # +1

                Если не писать код как пидор, то eval не потребуется.
                Ответить

                • ava Lure Of Chaos 04.05.2011 15:03 # 0

                  > не писать код как пидор
                  да-да, пишите, не будьте пидорами!
                  Ответить

                  • ava guest 04.05.2011 15:04 # −1

                    пидоры - сиплюсплюсовцы




                    .
                    Ответить

                  • ava guest 05.05.2011 17:14 # 0

                    "не (писать код как пидор)", а не "(не писать код) (как пидор)"

                    Чините парсер.
                    Ответить

          • ava wvxvw 01.05.2011 09:18 # +1

            eval() представляет угрозу если вы, например, знаете, что страница которую вы открываете использует какие-нибудь значения из параметров с которыми ее открывают. Или она обращается к вашему сервису, и потом результат этого запроса попадает в eval(). Но если ваш скрипт страница загрузила используя <script> тег, то тогда уже не важно есть в загрузившем скрипте eval(), или нет, вы и так сможете сделать все что хотите.
            Ответить

    • ava guest 01.05.2011 00:54 # 0

      пизда тый говнокод
      Ответить

      • ava guest 01.05.2011 13:46 # +2

        говнокод как всегда разрывает слова в самом интересном месте...
        Ответить

    Добавить комментарий