1. PHP / Говнокод #8084

    +167

    1. 1
    2. 2
    код постить не стал, уж очень много там говна.
http://php-adminka.ru/?id=16

    особенно удивили комментарии.

    Запостил: Sulik78, 04 Октября 2011

    Комментарии (17) RSS

    • ava 3.14159265 04.10.2011 14:18 # 0

      CREATE TABLE `pages` (
      `id` int(10) unsigned NOT NULL auto_increment,
      `body` text NOT NULL,
      ...
      `metadescription` text NOT NULL,
      `sortirovka` int(11) NOT NULL default '0',
      PRIMARY KEY (`id`)
      ) TYPE=MyISAM AUTO_INCREMENT=1 ;

      >>> `sortirovka` int(11) NOT NULL default '0',

      <?php //этой строкой говорим, что пхпговно код начался.
      В дальнейшем будем писать проще: "<?", т.к. наш хостинг позволяет делать урощенную запись.

      >>> этой строкой говорим, что пхп код начался.
      >>> урощенную запись.

      // а в последней строке мы укажем, что пхпговно код закончился
      ?>
      ...
      <?
      } // функция show_form() закончилась
      Ответить

    • ava jokz 04.10.2011 14:32 # +4 

      $result = mysql_query("SELECT * FROM pages WHERE id = '".$_GET['id']."';", $link);
      Ответить

      • ava jokz 04.10.2011 14:34 # +7

        21.07.2011 Дмитрий
        Дыряво очень!!!

        05.08.2011 сергей
        Дайте подтверждение.
        Покажите где дырки.
        Ответить

        • ava Nemoden 06.10.2011 07:05 # +8

          - У вас же дыра в безопасности!
          - Слва богу, хоть что-то у нас в безопасности...
          Ответить

      • ava jokz 04.10.2011 14:36 # +4

        тоже из каментов:

        "Да правда очень хорошая сайт для обучение PHP и Mysql"
        Ответить

      • ava roman-kashitsyn 04.10.2011 14:50 # +3 

        $_GET['id'] = " 0' OR 1 = 1; DELETE FROM pages WHERE '1'='1";
        Ответить

        • ava 3.14159265 04.10.2011 14:56 # 0

          >DELETE FROM pages WHERE '1'='1";
          где там такое?
          >OR 1 = 1
          или такое?
          Ответить

          • ava roman-kashitsyn 04.10.2011 14:58 # 0

            Это я так, "дырки выявляю"
            Ответить

            • ava 3.14159265 04.10.2011 15:00 # 0

              ясно.
              ну дык стандартные ошибки при сборке запросов.
              инъекции - само собой в подобном коде.
              Ответить

        • ava Vasiliy 04.10.2011 14:57 # +1

          Нет mysql_query не исполняет более 1 запроса за раз.
          '".$_GET['id']."' все что в $_GET['id'] будет закавычено.
          Ответить

          • ava roman-kashitsyn 04.10.2011 15:10 # 0

            Неужели так сложно использовать prepared statements?
            Ответить

            • ava Lure Of Chaos 04.10.2011 20:01 # +3

              конечно, если туториалы 10летней давности и не обновляются
              Ответить

              • ava Sulik78 12.10.2011 03:44 # 0

                запостил из за комментариев
                >>особенно удивили комментарии.
                один из последних
                03.10.2011 Alice
                ага... прочла следующие статьи и поняла. спасибо автору, что объясняет так доступно - даже я поняла))))
                Ответить

    • ava ZX_Spectrum 05.10.2011 15:13 # −1

      грешно смеяться над больными людьми...
      Ответить

    • ava guest8 09.04.2019 11:40 # −999

      показать все, что скрытоvanished
      Ответить

    Добавить комментарий