Говнокод #16518 — PHP — Говнокод.ру

PHP / Говнокод #16518

+156
1. 01
2. 02
3. 03
4. 04
5. 05
6. 06
7. 07
8. 08
9. 09
10. 10
11. 11
12. 12
13. 13
```
function tuc1($mensaje)
		{
			if (ereg("^[a-zA-Z0-9\-_ ]{1,255}$", $mensaje))
			{
				return $mensaje;
			}else{
				echo "Сука тебе пиздец мразь,айпи записан менты уже едут.А пока пшел нахуй отсюда.";
				include('footer.php');
				exit();
			}
		}
		
$stana=trim(htmlentities(stripslashes(tuc1($_GET["p"]))));
```
//после взлома проснулась у друга параноя

Запостил: Reds, 12 Августа 2014

Tweet
Комментарии (36) RSS
- bormand 12.08.2014 05:11 # 0
  
  Обжегшись на молоке дует на воду ;)
  Ответить
- Lure Of Chaos 12.08.2014 05:58 # 0
  
  mensaje - это на каком языке?
  Ответить
  - bormand 12.08.2014 06:13 # 0
    
    А туц1?
    Ответить
    - guest 12.08.2014 06:16 # 0
      
      Как сейчас помню "туц1" это "new1" в неправильной раскладке. Только в топика вроди не эта проблема...
      Ответить
    - Lure Of Chaos 12.08.2014 08:18 # 0
      
      тыц
      Ответить
  - bormand 12.08.2014 06:18 # 0
    
    Испанский.
    
    https://translate.google.com/#es/ru/mensaje
    Ответить
    - Lure Of Chaos 12.08.2014 08:05 # −1
      
      а русский матерный знают и испанцы, без словаря!
      Ответить
      
      kegdan 12.08.2014 10:42 # −2
      
      просто в испанской конторе завелся Русский и ночью он правит сырцы
      Ответить
      
      Lure Of Chaos 12.08.2014 13:16 # −1
      
      что? саботаж!
      Ответить
      
      Vasiliy 12.08.2014 14:00 # 0
      
      сторож?
      Ответить
  - Мистер Хэнки 13.08.2014 10:28 # −1
    
    на бордосленге
    Ответить
- gost 12.08.2014 12:39 # +1
  
  Друг, кажется, не знает о %00...
  Ответить
  - kegdan 12.08.2014 13:06 # −2
    
    0/000 = J
    
    ноль деленный на 3 ноля = треть ноля
    Ответить
    - Elvenfighter 12.08.2014 13:58 # −2
      
      Это если все 4 нуля одинаково быстро стремятся к абсолютному нулю.
      Ответить
      
      kegdan 12.08.2014 14:45 # −2
      
      то есть к -273
      Ответить
    - guest 12.08.2014 15:00 # −2
      
      Угу, а 100 деленое на три сотни это треть сотни.
      Ответить
      
      kegdan 12.08.2014 15:02 # −2
      
      В группе сотен - да
      
      учи алгем
      Ответить
  - gost 15.08.2014 18:55 # 0
    
    Суть такова: abc%00<hacked!!11one> в каких-то версиях пэшэпэ подходило под регулярку ^\w+$.
    Ответить
- guest 12.08.2014 14:24 # −1
  
  ereg в 2014 году??? Она же с версии 5.3 считается устаревшей.
  Ответить
  - Vasiliy 12.08.2014 15:01 # −2
    
    бесплатный хостинг 146%
    Ответить
- wvxvw 12.08.2014 16:26 # +1
  
  Послать, конечно, послал, а футер все-таки показал, добрый человек.
  Ответить
  - roman-kashitsyn 12.08.2014 16:37 # +3
    
    а может в том футере кровавые гоатсе
    Ответить
    - kegdan 12.08.2014 17:06 # −2
      
      Когда твой друг в крови,
      À la guerre comma à la guerre
      Когда твой друг в крови,
      Будь рядом до конца.
      
      http://www.youtube.com/watch?v=BDLkGBH38gs
      Ответить
  - eth0 12.08.2014 18:00 # −1
    
    И обманул - адрес не записал. Разве что это ВОЛШЕБНЫЙ КРО^WФУТЕР, где все ходы записаны.
    Ответить
    - inkanus-gray 12.08.2014 20:29 # −1
      
      А вдруг сервер все логи пишет?
      Ответить
      
      eth0 12.08.2014 20:39 # −1
      
      Со всеми POST-значениями? Во-первых, это глупо. Во-вторых, небезопасно.
      Ответить
      
      inkanus-gray 12.08.2014 20:40 # −1
      
      Но мы же тут принимаем только $_GET["p"].
      Ответить
      
      eth0 12.08.2014 20:46 # 0
      
      Я почти придумал скрипт для gawk, который будет парсить access.log апача, выделять из него параметр p у требуемого скрипта из url, после чего проверять на регулярку ^[a-zA-Z0-9\-_ ]{1,255}$ и показывать первое поле, но у меня возникло строгое чувство, что есть более простой способ решения проблемы, а не стрелять по лягушкам в Германии лазером из космоса со спутника.
      Да, grep тут не поможет.
      Ответить
      
      bormand 12.08.2014 20:45 # −1
      
      > Во-первых, это глупо.
      Ну не так уж и глупо. Логи со всеми параметрами не раз помогали в разборе полётов. Правда писал я их не апачем.
      
      > Во-вторых, небезопасно.
      Ну у меня в одном json-сервисе параметры, содержащие "password", логируются как ********. А какие еще могут быть уязвимости помимо засветки паролей в логе и засирания диска?
      Ответить
      
      eth0 12.08.2014 20:50 # −1
      
      Нужно изобретать тип-пароль, например. Или надеяться, что каждый инпут простого типа будет обработан верно. Если ловить строки, которые названы password, это не стопроцентно надёжно.
      Пост-переменные это не только пароли. Это ещё и ценный мех.
      Для разбора полётов стоит подумать о чём-то более естественном. xdebug, тащемта, если сервер отладочный.
      В плане же рассматриваемого вопроса, журналировать все переменные только для того, чтобы узнать, почему хакер ввёл русскую букву или апостроф - ад угара.
      Ответить
      
      bormand 12.08.2014 21:01 # 0
      
      > журналировать все переменные только для того, чтобы узнать, почему хакер ввёл русскую букву или апостроф - ад угара
      Ну зависит от нагрузки и ответственности тащемта.
      
      В данном случае json rpc демон, работающий на правах бога-из-машины. Умеет запиливать/выносить юзеров, дропать базы и т.п. Вызывается он совсем не часто. А вот если забагует - очень хотелось бы знать, когда и почему. Поэтому там все запросы/ответы полностью логируются.
      
      > это не стопроцентно надёжно
      В моем случае - сойдет. На крайний случай лог можно писать на удаленную машинку, которой можно доверять, или хотя бы дать права только на append.
      Ответить
      
      eth0 13.08.2014 19:12 # −1
      
      Ваши соображения зело здравы, милсдарь. Разве что слегка намертво прибиты гвоздями к конкретной ситуации.
      Ответить
- guest 12.08.2014 18:14 # +10
  
  >Сука тебе пиздец мразь,айпи записан менты уже едут
  ПОЦОНЫ НЕ ПРИНИМАЙТЕ ТАКИЕ GETЫ У МИНЯ ТАК ХОСТИНГ УМЕР МУSQL РАЗВАЛИЛАСЬ ПИШУ С ПХП
  Ответить
  - anonimb84a2f6fd141 14.08.2014 16:41 # −4
    
    Въебал минус за упоминание pHp всуе.
    Ответить
- anonimb84a2f6fd141 14.08.2014 16:44 # −6
  показать все, что скрыто
  0 g@@@@@44444*********9444@@@@@@@@@@@Mggg__ g@M" _an**"""""""**Vw=G______"%%@@@@@gg_ ,@@` a^" __a=~v-vvv~~,___ _____`"*@gg_ a@@ _M" _m*"` _______ `""""""""""` " "9@g_ @@ a" ,m"_ar*"'` -, ,amv****-~, 9@g @@ .* u" C ,~ "\ @ d@ ' __gg____ ` @y g@ ,g@@@@@@@@4@@gg_ C ______ 9@g g@@.>~. __ a@""@@@@@@__ "9@g ,g@@@@**4@@_ "@g_ g@"$-*""" *Y, @@@@*""**4@@@g__$@C ggg@@@@@@@@@@*" "'" ""Mg`8@g g@",` ,g@@@@@@@g_ _g@ ""@M" `"@@" *n_"C"@@ g@' p@" ,`"@@@ggggg@@" 8] ,_ _gM@@@@g ' 'C8@ @@ j@ 8@_ `"""' 8@g_ 3@g@@@`, `" ][@ @L 8@ _g@@@@@gg_ _gMMy "9@g_ `""' 8L j8@ @k 3@ d@@@@ "@@@gg_ *""""" @"``___ '@@g_ @@C n" Q@ "@C $ 9k @@_ "8@@@@gg_ @g_fM4@@M g@""" "n. a@@@ _m*3@" "@g N, 9@@gg_ 8@ `""9@@@gg__" 8gg@M _g@@@d@k a@% "@@g_' "@@@@@@@@g_ `"8@@@@ggg____ ""` ___gg@@@@ 8@@@ @@ "@g_ '@g `"@@@@gg__ @L `"""4@@@@@@@@@@@@@@@@" @C @@@ 3@ 9@_ `@g 3@"9@@@@@@g@ [@ @@ 4@y @kg@@@ [@ 9@ 8@gd@ '"9@@@@@@@gggggd@gggggd@gggggg@W@@@@@@@@ [@ 8g "@@g @""9@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@F [@ @g "@@g_ d@ '""@@@@@@@@@@@@@@@@@@@@@@@$@ 3@ `@g_ "@@@g_j@' @C ``"3@@"""8@""j@'j@g@@ 3@ 9@g_ ~__ ~._ `"@@@@g_ @C 8@ g@^ p@^ "@@M @C "@@g "9m_ "Nq_ "*@@@@ggggg@______@____@@gg@@@@@M" @L "9@@g_`"Mm_`"Nq_ """"*4@@@@@@@@@@M@@4*"""' 8k "9@@g_ ""Mm_"*w__ ~~~~ aaa~~ _/ $@ `"@@gg_ "*WG_"*w~.____ ___am*" / [@ "*@@gg `"*-~<.__ ` __M" 3@ "9@gg_ `""'** ------**""` d@ `"@@ggggg__ ,d@ ""9@@@@@gg__ __g@" `""*4@@@@MggggggggM@@@@" `""""""""""'
  Ответить
- anonimb84a2f6fd141 14.08.2014 16:44 # −5
  показать все, что скрыто0 g@@@@@44444*********9444@@@@@@@@@@@Mggg__ g@M" _an**"""""""**Vw=G______"%%@@@@@gg_ ,@@` a^" __a=~v-vvv~~,___ _____`"*@gg_ a@@ _M" _m*"` _______ `""""""""""` " "9@g_ @@ a" ,m"_ar*"'` -, ,amv****-~, 9@g @@ .* u" C ,~ "\ @ d@ ' __gg____ ` @y g@ ,g@@@@@@@@4@@gg_ C ______ 9@g g@@.>~. __ a@""@@@@@@__ "9@g ,g@@@@**4@@_ "@g_ g@"$-*""" *Y, @@@@*""**4@@@g__$@C ggg@@@@@@@@@@*" "'" ""Mg`8@g g@",` ,g@@@@@@@g_ _g@ ""@M" `"@@" *n_"C"@@ g@' p@" ,`"@@@ggggg@@" 8] ,_ _gM@@@@g ' 'C8@ @@ j@ 8@_ `"""' 8@g_ 3@g@@@`, `" ][@ @L 8@ _g@@@@@gg_ _gMMy "9@g_ `""' 8L j8@ @k 3@ d@@@@ "@@@gg_ *""""" @"``___ '@@g_ @@C n" Q@ "@C $ 9k @@_ "8@@@@gg_ @g_fM4@@M g@""" "n. a@@@ _m*3@" "@g N, 9@@gg_ 8@ `""9@@@gg__" 8gg@M _g@@@d@k a@% "@@g_' "@@@@@@@@g_ `"8@@@@ggg____ ""` ___gg@@@@ 8@@@ @@ "@g_ '@g `"@@@@gg__ @L `"""4@@@@@@@@@@@@@@@@" @C @@@ 3@ 9@_ `@g 3@"9@@@@@@g@ [@ @@ 4@y @kg@@@ [@ 9@ 8@gd@ '"9@@@@@@@gggggd@gggggd@gggggg@W@@@@@@@@ [@ 8g "@@g @""9@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@F [@ @g "@@g_ d@ '""@@@@@@@@@@@@@@@@@@@@@@@$@ 3@ `@g_ "@@@g_j@' @C ``"3@@"""8@""j@'j@g@@ 3@ 9@g_ ~__ ~._ `"@@@@g_ @C 8@ g@^ p@^ "@@M @C "@@g "9m_ "Nq_ "*@@@@ggggg@______@____@@gg@@@@@M" @L "9@@g_`"Mm_`"Nq_ """"*4@@@@@@@@@@M@@4*"""' 8k "9@@g_ ""Mm_"*w__ ~~~~ aaa~~ _/ $@ `"@@gg_ "*WG_"*w~.____ ___am*" / [@ "*@@gg `"*-~<.__ ` __M" 3@ "9@gg_ `""'** ------**""` d@ `"@@ggggg__ ,d@ ""9@@@@@gg__ __g@" `""*4@@@@MggggggggM@@@@" `""""""""""'
  Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только в понедельник, среду, четверг или воскресение
Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

PHP / Говнокод #16518

Комментарии (36) RSS

Добавить комментарий