Говнокод

"PHP" / Говнокод #25536

class SqlXssFilter {
    private static $sql_keywords = array(
        'ADD',
        'ADD CONSTRAINT',
        'ALTER',
        'ALTER COLUMN',
        'ALTER TABLE',
        'ALL',
        'AND',
        'ANY',
        'AS',
        'ASC',
        'BACKUP DATABASE',
        'BETWEEN',
        'CASE',
        'CHECK',
        'COLUMN'
        'CONSTRAINT',
        'CREATE',
        'CREATE DATABASE',
        'CREATE INDEX',
        'CREATE OR REPLACE VIEW',
        'CREATE TABLE',
        'CREATE PROCEDURE',
        'CREATE UNIQUE INDEX',
        'CREATE VIEW',
        'DATABASE',
        'DEFAULT',
        'DELETE',
        'DESC',
        'DISTINCT',
        'DROP',
        'DROP COLUMN',
        'DROP CONSTRAINT',
        'DROP DATABASE',
        'DROP DEFAULT',
        'DROP INDEX',
        'DROP TABLE',
        'DROP VIEW',
        'EXEC',
        'EXISTS',
        'FOREIGN KEY',
        'FROM',
        'FULL OUTER JOIN',
        'GROUP BY',
        'HAVING',
        'IN',
        'INDEX',
        'INNER JOIN',
        'INSERT INTO',
        'INSERT INTO SELECT',
        'IS NULL',
        'IS NOT NULL',
        'JOIN',
        'LEFT JOIN',
        'LIKE',
        'LIMIT',
        'NOT',
        'NOT NULL',
        'OR',
        'ORDER BY',
        'OUTER JOIN',
        'PRIMARY KEY',
        'PROCEDURE',
        'RIGHT JOIN',
        'ROWNUM',
        'SELECT',
        'SELECT DISTINCT',
        'SELECT INTO',
        'SELECT TOP',
        'SET',
        'TABLE',
        'TOP',
        'TRUNCATE TABLE',
        'UNION',
        'UNION ALL',
        'UNIQUE',
        'UPDATE',
        'VALUES',
        'VIEW',
        'WHERE'
    );
    // XSS and SQL-inject filter 
    public static function filterInputData(&$str) {
        // remove html tags
        $res = strip_tags($str);
        $res = str_replace(self::sql_keywords, "", $str);
        return $res;
    }
}

Сойдет.

Запостил: OlegUP, 12.04.2019 (Updated 12.04.2019)

Комментарии (21) RSS

OlegUP 7 лет ago # 0

public static function filterInputData(&$db_link, &$str) {
    // remove html tags
    $res = strip_tags($str);
    $res = mysqli_real_escape_string($db_link, $res);
    $res = str_replace(self::$sql_keywords, "", $res);
    return $res;
}

Ответить

Steve_Brown 7 лет ago # 0

if (str.contains("--"))
die "Это кто это тут у нас хакерничает?"
Ответить
PACTPOBblu_nemyx 7 лет ago # 0

Короче, по-английски лучше вообще не писа́ть.

Хотя... функция фильтрует только слова, написанные капсом? Т. е. drop table `users` пройдёт?
Ответить
- Steve_Brown 7 лет ago # 0 ⇈
  
  ...но хакеры оказались хитрее и воспользовались непредвиденными особенностями используемых нами компонент...
  Ответить
- OlegUP 7 лет ago # 0 ⇈
  
  точно, забыл. str_ireplace.
  Ответить
  - Vya_Pupk 7 лет ago # 0 ⇈
    
    ЧЗХ???
    Ответить
    - OlegUP 7 лет ago # 0 ⇈
      
      str_ireplace
      Ответить
AHCKuJlbHblu_nemyx 7 лет ago # 0

Я, AHCKuJlbHblu_nemyx, находясь в здравом уме и твердой памяти, торжественно заявляю:
Какой анскилл )))
Ответить
- OlegUP 7 лет ago # 0 ⇈
  
  Хочу поменять ник, варианты:
  ro8Hoko9ep
  6b|9jIoko9er
  Ответить
  - BOKCEJIbHblu_nemyx 7 лет ago # 0 ⇈
    
    nugapac
    Ответить
    - OlegUP 7 лет ago # 0 ⇈
      
      CMEPTEJIbHbIu_nemyx
      Ответить
    - Xyu_HE_3HAET 7 лет ago # 0 ⇈
      
      Дайте пороль от rpycTb
      Ответить
OlegUP 7 лет ago # 0

https://pastecode.xyz/view/06f27729

Кому то может пригодится.
Ответить
- gost 7 лет ago # 0 ⇈
  
  Спасибо, выкатил в прод, начальник похвалил за создание безопасного сайта!
  Ответить
- guest 7 лет ago # 0 ⇈
  
  >Если search и replace - массивы, то str_ireplace() использует каждое значение из соответствующего массива для поиска и замены в subject. Если в массиве replace меньше элементов, чем в search, в качестве строки замены для оставшихся значений будет использована пустая строка. Если search - массив, а replace - строка, то эта строка замены будет использована для каждого элемента массива search.
  
  А в питоне такого нет. Какой багор 🙂
  Ответить
  - OCETuHCKuu_nemyx 7 лет ago # 0 ⇈
    
    Поэтому я за "PHP".
    Ответить
  - BOKCEJIbHblu_nemyx 7 лет ago # 0 ⇈
    А в 'J' все глаголы по умолчанию работают над масссивами, именно поэтому я за 'J':
    a =: noun define 'ADD', 'ADD CONSTRAINT', 'ALTER', 'ALTER COLUMN', 'ALTER TABLE', 'ALL', 'AND', 'ANY', 'AS', 'ASC', 'BACKUP DATABASE', 'BETWEEN', 'CASE', 'CHECK', 'COLUMN', 'CONSTRAINT', 'CREATE', 'CREATE DATABASE', 'CREATE INDEX', 'CREATE OR REPLACE VIEW', 'CREATE TABLE', 'CREATE PROCEDURE', 'CREATE UNIQUE INDEX', 'CREATE VIEW', 'DATABASE', 'DEFAULT', 'DELETE', 'DESC', 'DISTINCT', 'DROP', 'DROP COLUMN', 'DROP CONSTRAINT', 'DROP DATABASE', 'DROP DEFAULT', 'DROP INDEX', 'DROP TABLE', 'DROP VIEW', 'EXEC', 'EXISTS', 'FOREIGN KEY', 'FROM', 'FULL OUTER JOIN', 'GROUP BY', 'HAVING', 'IN', 'INDEX', 'INNER JOIN', 'INSERT INTO', 'INSERT INTO SELECT', 'IS NULL', 'IS NOT NULL', 'JOIN', 'LEFT JOIN', 'LIKE', 'LIMIT', 'NOT', 'NOT NULL', 'OR', 'ORDER BY', 'OUTER JOIN', 'PRIMARY KEY', 'PROCEDURE', 'RIGHT JOIN', 'ROWNUM', 'SELECT', 'SELECT DISTINCT', 'SELECT INTO', 'SELECT TOP', 'SET', 'TABLE', 'TOP', 'TRUNCATE TABLE', 'UNION', 'UNION ALL', 'UNIQUE', 'UPDATE', 'VALUES', 'VIEW', 'WHERE' ) NB. rplc принимает массив пар a =: a: ,~"0 do a rplc ',' ; ';' ; LF ; '' 'VASYA_PUPKIN' rplc a VYA_PUPK (rplc&a)each 'VASYA PUPKIN' ; 'ALTER MANN' ; 'I WANT TO BE WITH YOU ALL OF THE TIME' ; 'ALL DAY AND ALL OF THE NIGHT' ┌────────┬─────┬──────────────────────────────────┬───────────────────┐ │VYA PUPK│ MANN│I WANT TO BE WITH YOU OF THE TIME│ DAY OF THE NIGHT│ └────────┴─────┴──────────────────────────────────┴───────────────────┘
    Лол,я не нашёл в стандартной библиотеке никаких функций для работы с регистром. Я даже не нашёл как заставить regex игнорировать регистр. Какой анскилл )))
    Ответить
    - BoeHHblu_nemyx 7 лет ago # 0 ⇈
      
      Это такие таблички сам 'J' рисует?
      Ответить
      - BOKCEJIbHblu_nemyx 7 лет ago # 0 ⇈
        
        Да, так 'J' отображает коробки. Коробка может хранить в себе данные любого типа. А в массивах все элементы должны быть одинакового типа, и чтобы хранить в одном массиве значения разных типов (в частности строки разной длины), их нужно разложить по коробочкам, и хранить массив коробок:
        < 42 NB. монада < кладёт свой аргумент в коробку ┌──┐ │42│ └──┘ 'hui' ; 42 ; 2.65j2.65 ; i.3 3 NB. диада ; кладёт свой правый аргумент в коробку, если он не коробка, кладёт левый в коробку, затем соединяет их в массив ┌───┬──┬─────────┬─────┐ │hui│42│2.65j2.65│0 1 2│ │ │ │ │3 4 5│ │ │ │ │6 7 8│ └───┴──┴─────────┴─────┘
        
        Ответить
        
        BoeHHblu_nemyx 7 лет ago # 0 ⇈
        
        Сложил hui в коробочку. Какой багор )))
        Ответить
  - OlegUP 7 лет ago # 0 ⇈
    
    Можно простенький интерпретатор написать используя только эту функцию.
    Ответить

Добавить комментарий Отменить ответ

Где здесь C++, guest?!

А не использовать ли нам bbcode?