Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5698)
2. C++ (2733)
3. Куча (2329)
4. JavaScript (2027)
5. C# (1925)
6. Java (1501)
7. Си (1095)
8. Pascal (647)
9. Python (582)
10. 1C (532)
11. SQL (431)
12. ActionScript (292)
13. Objective C (202)
14. bash (198)
15. Perl (194)
16. Assembler (146)
17. Ruby (142)
18. VisualBasic (138)
19. Lua (49)
20. Go (29)
21. Swift (27)
22. Haskell (26)
23. Kotlin (13)

1. PHP / Говнокод #7294

   +157

   1. 01
   2. 02
   3. 03
   4. 04
   5. 05
   6. 06
   7. 07
   8. 08
   9. 09
   10. 10
   11. 11
   12. 12
   13. 13
   14. 14
   15. 15
   16. 16
   17. 17
   18. 18
   19. 19
   20. 20

   function parse_req($value) 
   {
       global $log_conf;
       if(!is_array($value)) 
       {
           if(preg_match("#UNION|OUTFILE|SELECT|ALTER|INSERT|DROP|TRUNCATE#i", base64_decode($value))) 
           {
               if($log_conf['queryError'] == 1) writeInLog('Попытка произвести SQL-Inj текст: '.$value, 'sql');
               //fatal_error(_ERROR, _UNKNOWN_ERROR);	
   			die();
           }
       }
       else
       {
           foreach($value as $val) 
           {
               parse_req($val);
           }
       }
   }

   Баян конечно, но всегда удивляюсь на что они рассчитывают?
   Как-бы борится с SQL-Injection...

   Запостил: nethak, 20 Июля 2011

   Tweet

   Комментарии (18) RSS

   • nethak 20.07.2011 03:33 # −1

     А это он себе жизнь упростил)))
     
     function showText($text)
     {
     return stripslashes($text);
     }
     
     Заметьте какая колоссальная разница! В целых 4 символа, бережёт себя...

     Ответить

   • Lure Of Chaos 20.07.2011 09:29 # 0

     > 'Попытка произвести SQL-Inj текст: '
     :D:D:D

     Ответить

     • ling 20.07.2011 09:34 # 0

       Баг - производитель).

       Ответить

   • SadKo 20.07.2011 09:51 # 0

     Да грёбаный попугай!
     Когда они prepared statements использовать научатся?

     Ответить

     • Nicklasos 20.07.2011 14:28 # 0

       И чо? При чем тут prepared statements и SQL-inj? Дурак что угодно может сломать.

       Ответить

       • Lure Of Chaos 20.07.2011 14:31 # +1

         как раз prepared statements от SQL-inj или вы не в курсе???

         Ответить

         • Nicklasos 20.07.2011 14:48 # 0

           Ну это вроде как побочный эффект ps, я так понял, что благодаря отделению данных от запроса методом каких-нить placeholders можно экранировать данные.
           А основная задача ps кажись ускорение выполнения однообразных запросов.

           Ответить

           • Lure Of Chaos 20.07.2011 14:52 # 0

             > побочный эффект
             почитали бы. неужто не используете?
             вообще-то prepared statements эффективно решают обе задачи

             Ответить

             • Nicklasos 20.07.2011 15:02 # 0

               Использую, в рельсах совсем недавно прикрутили :)
               Но все равно не уверен, что если не использовать placeholders, а в подготавливаемом запросе интерполировать какую-нить переменную извне, то есть подготовить запрос с инъекцией.

               Ответить

               • Lure Of Chaos 20.07.2011 15:07 # 0

                 экранируются только параметры, подставляемые в placeholders, в других местах а вдруг так и должно быть

                 Ответить

             • Nicklasos 20.07.2011 15:03 # 0

               Надо лучше сейчас поиграться с этим.

               Ответить

   • Yurik 20.07.2011 18:01 # 0

     А вот в PHP есть замечательный PDO. По-моему что-то не так сделать там просто нереально. Сам класс экранирует даже имя/пароль для базы.

     Ответить

     • Lure Of Chaos 20.07.2011 18:14 # −1

       единственное, скотина, не окавычивает имена. т.е. INSERT INTO ? не пройдет.

       Ответить

       • Yurik 20.07.2011 19:25 # 0

         SELECT * FROM entries WHERE id IN(' . $in_query . ') ORDER BY FIND_IN_SET(id,"' . $in_query_ids .'")
         Знакомо, еще вот такой фигней приходится заниматься, когда число параметров для IN меняется. Это так выдираются результаты поиска сфинкса из базы. Лучшего решения не нашел.

         Ответить

         • Vindicar 20.07.2011 20:43 # 0

           Я делал str_repeat('?,', count($args)) (с отбрасыванием лишней запятой) и потом просто передавал массив вариантов как параметр. Но тоже не совсем, как мне кажется...

           Ответить

       • bugmenot 20.07.2011 22:02 # 0

         а должно? специально же так сделали от шаловливых игрунков!

         Ответить

         • telnet 21.07.2011 06:13 # 0

           Не от "шаловливых игрунков", а по логике работы подготовленных выражений. На этапе подготовки составляется план выполнения запроса, а как его составишь, если неизвестно, о каких таблицах идёт речь?

           Ответить

           • bugmenot 21.07.2011 18:18 # +3

             мокроносые игрунки не знают таких слов, они думают что prepared statements это такой sprintf

             Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только во вторник, пятницу или субботу

   Где здесь C++, guest?!

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *