1. Java / Говнокод #6747

    −106

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    switch(field) {
        case 0:
          filter = "a.opros_opros like '%'";
          break;
        case 1:
          filter = "a.opros_opros like '" + param[0] + "'";
          break;
        case 2:
          filter = "a.opros_name like '" + param[1] + "'";
          break;
        case 3:
          filter = "a.opros_opros like '" + param[0] + "' and a.opros_name like '" + param[1] + "'";
          break;
      }

      String sql = <blah-blah-blah> + filter+ <blah-blah-blah>;

    сей кейс вызвал у меня странные чувства.
    ясное дело, что содержимое массива param нигде не экранируется

    Запостил: 3.14159265, 25 Мая 2011

    Комментарии (11) RSS

    Добавить комментарий