Говнокод

"PHP" / Говнокод #17936

$apiid = mysql_real_escape_string(substr($_POST['apiid'], 0, 1024));
$logine = mysql_real_escape_string(substr($_POST['login'], 0, 1024));
$koef = mysql_real_escape_string(substr($_POST['koefjet'], 0, 1024));
$balans = mysql_real_escape_string(substr($_POST['balansjet'], 0, 1024));
$balansz = mysql_real_escape_string(substr($_POST['balanszjet'], 0, 1024));
$trafbalans = mysql_real_escape_string(substr($_POST['trafbalansjet'], 0, 1024));
$krbalans = mysql_real_escape_string(substr($_POST['krbalansjet'], 0, 1024));
$idget = mysql_real_escape_string(substr($_POST['idjet'], 0, 1024));
$vuz = mysql_real_escape_string(substr($_POST['v'], 0, 1024));
$percent = mysql_real_escape_string(substr($_POST['percent'], 0, 1024));
$maxinv = mysql_real_escape_string(substr($_POST['maxinv'], 0, 1024));
$r = mysql_real_escape_string(substr($_POST['r'], 0, 1024));
$fio = mysql_real_escape_string(substr($_POST['fio'], 0, 1024));
$pass = mysql_real_escape_string(substr($_POST['pass'], 0, 1024));
$obnom = mysql_real_escape_string(substr($_POST['obnom'], 0, 1024));
$dkot = mysql_real_escape_string(substr($_POST['dkot'], 0, 1024));
$email = mysql_real_escape_string(substr($_POST['email'], 0, 1024));
$ppr = mysql_real_escape_string(substr($_POST['ppr'], 0, 1024));
$procent = mysql_real_escape_string(substr($_POST['procent'], 0, 1024));
$unikjet = mysql_real_escape_string(substr($_POST['unikjet'], 0, 1024));

вот так кто-то получал данные формы

Запостил: podvzbzdnul, 05.04.2015 (Updated 28.03.2018)

Комментарии (29) RSS

gost 11 лет ago # 0

mysql_real_escape_string_cho_ne_verish_c hto_real_da_ya_zub_dau
Ответить
- bormand 11 лет ago # 0 ⇈
  
  mysql_blya_budu_real_escape_string
  Ответить
  - Stallman 11 лет ago # 0 ⇈
    
    А в результате все равно инъекция.
    Ответить
    - inkanus-gray 11 лет ago # 0 ⇈
      
      Кстати:
      
      Warning
      
      This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used.
      ...
      Alternatives to this function include:
      • mysqli_real_escape_string()
      • PDO::quote()
      Ответить
      - Vasiliy 11 лет ago # 0 ⇈
        
        Да да да. Сколько об этом говорили писали. Наконец свершилось а не кто не ждал.
        Ответить
        
        inkanus-gray 11 лет ago # 0 ⇈
        
        Сбой при синтаксическом разборе последнего предложения.
        Ответить
        
        Vasiliy 11 лет ago # 0 ⇈
        
        Про то что уберут mysql_XXX говорили и писали боле 9000 раз. Но не смотря на это полно достаточно больших проектов которые юзают mysql_XXX. И они не готовы переходить не на MySQLi не на PDO_MySQL.
        Я тут надумываю написать скриптец который все эти mysql_real_escape_string меняет на bindparam
        Ответить
      - bormand 11 лет ago # 0 ⇈
        
        > will be removed in the future
        Т.е. никогда?
        Ответить
kegdan 11 лет ago # 0

>>1024

1024--, твоих рук дело?!
Ответить
- 1024-- 11 лет ago # 0 ⇈
  
  Где здесь ЭКМАСкрипт, kegdan?!
  В мире пхп я лишь скромный гость. В мире пхп я влияния не имею. Это ирония судьбы.
  Ответить
  - kegdan 11 лет ago # 0 ⇈
    
    Блин, нужно привязать к каждому юзеру какие языки он умеет, а то путаюсь
    Ответить
    - bormand 11 лет ago # 0 ⇈
      
      И сертификаты приложить?
      Ответить
      - kegdan 11 лет ago # 0 ⇈
        
        да нет, под чеснаслова. Какой смысл врать то? Перед кем понтоваться?
        Ответить
  - Stallman 11 лет ago # 0 ⇈
    
    Ну код в посте вполне мог бы быть валидным ЭКМАСкриптом. Нужно всего лишь объявить недостающие функции и переменные.
    Ответить
inkanus-gray 11 лет ago # 0
```
$_POST = array_map(
    function($value) {
        return mysql_real_escape_string(trim(substr($value, 0, 1024)));
    }, $_POST);

$_GET = array_map(
    function($value) {
        return mysql_real_escape_string(trim(substr($value, 0, 1024)));
    }, $_GET);
```
Ответить
- Stallman 11 лет ago # 0 ⇈
  Тогда уж:
```
array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
	$value = mysql_real_escape_string(trim(substr($value, 0, 1024)));
});
```
  Ответить
  - ultimate_govnokoder 11 лет ago # 0 ⇈
    
    extract(array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
    $value = mysql_real_escape_string(trim(substr($va lue, 0, 1024)));
    }));
    Ответить
    - Stallman 11 лет ago # 0 ⇈
      
      array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value, $key) { global $$key; $$key = $value = mysql_real_escape_string(trim(substr($value, 0, 1024))); }); });
      
      Ответить
      - podvzbzdnul 11 лет ago # 0 ⇈
        
        да вы наркоманы
        Ответить
      - 3_14dar 11 лет ago # 0 ⇈
        
        >$$key
        В освенцим.
        Ответить
      - bormand 11 лет ago # 0 ⇈
        
        magic_quotes = On
        
        Ответить
        
        Stallman 11 лет ago # 0 ⇈
        
        Вот бы в бидоне запилили python.ini с фичей magic_spaces, при включении которой интерпретатор сам бы расставлял отступы, как ему покажется верным.
        Ответить
        
        bormand 11 лет ago # 0 ⇈
        
        Вот бы в c++ запилили cpp.ini с фичей magic_code, при включении которой компилятор сам пишет код.
        Ответить
        
        Horse3 11 лет ago # 0 ⇈
        
        Зачем ждать, когда запилят, если сразу можно перейти на язык, в котором интерпретатор сам исполняет код, как ему покажется верным?
        Ответить
        
        3_14dar 11 лет ago # 0 ⇈
        
        Што?
        Ответить
wvxvw 11 лет ago # 0
```
php_unreal_escape_string()
```
Ответить
- 3_14dar 11 лет ago # 0 ⇈
  
  fuck_php_play_unreal(graphon=true)
  Ответить
  - Stallman 11 лет ago # 0 ⇈
    
    Где здесь пхп, пидр?
    Ответить
    - kegdan 11 лет ago # 0 ⇈
      
      Где здесь пидр, Сто... Все, нашел
      Ответить

Добавить комментарий Отменить ответ

Из-за тебя ушел bormand, guest!

А не использовать ли нам bbcode?