1. PHP / Говнокод #563

    +196.1

    1. 1
    $id=mysql_escape_string(htmlspecialchars(trim(intval($_GET['id']))));

    Непробиваемая защита гг

    Запостил: guest, 17 Февраля 2009

    Комментарии (19) RSS

    • ava guest 17.02.2009 17:29 # +2

      не, ну а вжруг найдут уязвисомть в intval?))
      Ответить

    • ava guest 17.02.2009 17:36 # −1

      ебаниииись =)
      Ответить

    • ava guest 17.02.2009 17:36 # +1

      Проходим:
      В таком коде нередко потом можно увидеть:
      mysql_query("SLECT * FROM … WHERE id = ".$_GET['id']);


      :)
      Ответить

    • ava guest 17.02.2009 18:11 # 0

      ft:
      trim(intval( .. ))

      ХА - ХА!
      Ответить

    • ava guest 17.02.2009 20:36 # 0

      Web-Evt:
      хххыы :) Я когда-то сам так писал))))
      Ответить

    • ava guest 18.02.2009 07:39 # −2

      www:
      Самая непрбиаемая 
      $id=mysql_real_escape_string(mysql_escape_string(htmlspecialchars($_GET['id'])));
      Ответить

    • ava guest 19.02.2009 11:11 # 0

      30580:
      if(is_numeric($_GET['id'])) {
...
} else
return 'ннах';
      Ответить

    • ava guest 19.02.2009 20:18 # 0

      cha0s:
      $id=preg_replace('\D','',$_GET['id']); ?
      Ответить

    • ava guest 20.02.2009 04:49 # +6

      27:
      [quote=www]Самая непрбиаемая
      $id=mysql_real_escape_string(mysql_escap e_string(htmlspecialchars($_GET['id'])));[/quote]
      не самая
      <?php
$id=str_replace("'","",$_GET['id']);
$id=str_replace("`","",$id);
$id=str_replace("\"","",$id);
$id=str_replace("\'","",$id);
$id=str_replace("-","",$id);
$id=str_replace("--","",$id);
$id=str_replace("OR","",$id);
$id=str_replace("TRUNCATE","",$id);
$id=str_replace("DROP","",$id);
$id=str_replace("SELECT","",$id);
$id=str_replace("WHERE","",$id);
$id=str_replace("AND","",$id);
$id=str_replace("UNION","",$id);
$id=str_replace("+","",$id);
$id=str_replace("*","",$id);
$id=mysql_real_escape_string(mysql_escape_string(intval(trim(stripslashes(htmlspecialchars($_GET['id']))))));
if($id!=$_GET['id'] || $id!==$_GET['id'] || !($id===$_GET['id']) || !is_numeric($id))
{
	die("ПНХ!");
	exit;
}

?>
      Ответить

    • ava guest 24.02.2009 10:29 # 0

      леха:
      to27

      :))))) зачет
      Ответить

    • ava guest 26.02.2009 20:23 # 0

      shizz:
      27: xD
      Ответить

    • ava guest 27.02.2009 15:54 # +1

      Mazafaka:
      А это же мой код!!!Че бы прикалываетесь он нормальный
      Ответить

    • ava guest 28.02.2009 12:33 # 0

      ZZ:
      $id=(int)$_GET['id'];
      низя так?
      Ответить

    • ava guest 02.03.2009 09:01 # 0

      чат:
      чат мазафаки! ах ха ха не знал чо ты лаиер ыы
      Ответить

    • ava guest 17.04.2009 21:04 # +1

      грешно смеяться над больным человеком!!!
      У меня паранойя, хотя судя по 27 пока еще в латентной фазе))))
      Ответить

    • ava guest 24.04.2009 10:25 # 0

      Dima:
      27, можно добавить
      $id=str_replace("BENCHMARK","",$id);
      Ответить

    • ava guest 08.09.2009 08:48 # 0

      Самое главное забыл!
      $id=str_replace("\0","",$id);
      Ответить

    • ava guest 19.06.2010 23:03 # 0

      таки да
      Ответить

    Добавить комментарий