1. PHP / Говнокод #17384

    +157

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    <?php
function clear($field){
    $field = htmlspecialchars($field);
    $field = str_replace("\"","", $field);
    $field = str_replace("'","\'",$field);
 
    return $field;
}
  if(isset($_POST['name'])){
   $name = clear($_POST['name']);
    echo $name;
  }
?>
<form method="post">
 <p>you name:<br>
 <input name="name" type="text" value="">
 </p>
 <input type="submit" value="Send">
</form>

    Прафисианналы "PHP" пишут защиту от XSS.
    Отсюда: http://mzcoding.com/php_articles/xss__csrf__ataki_i_zashhita_ot_nikh/11/

    Запостил: gost, 29 Декабря 2014

    Комментарии (17) RSS

    • ava Stallman 30.12.2014 13:08 # +1

      В чем вообще сакральный смысл строк 4-5? Почему одинарные кавычки, которых после htmlspecialchars() остаться не должно, автор пытается выкосить к хуям, а одинарную - на кой-то хер типа заэскейпить одинарным слешем?
      Что они там в школах нынче курят?
      Ответить

      • ava bormand 30.12.2014 14:52 # 0

        > одинарные кавычки, которых после htmlspecialchars() остаться не должно
        Она, емнип, одинарные не экранирует по дефолту. Там надо флаги крутить. Но автору кода ман читать было лень...
        Ответить

        • ava Stallman 30.12.2014 14:57 # 0

          Двойные кавычки имел ввиду, ошибочка вышла, пардон.
          Ответить

    • ava guest 30.12.2014 13:17 # −3

      Молодец, вытащил таки код) Но статью не удосужился прочесть, там написано, что данная функция не поможет и является блефом, а не защитой. Данный код я нашел в какой-то из книг, ПХП глазами хакера (Фленова) по моему)

      Ниже описаны рекомендации либо использовать подготовленные запросы/экранировать кавычки с помощью mysql/pdo функций либо использовать класс htmlpurifier, который на мой взгляд неплох.

      Лучше читайте внимательней, а не копипасте для поднятия кармы)) Поменьше говна вам в Новом году))
      Ответить

      • ava gost 30.12.2014 14:35 # 0

        >>> Поэтому давайте напишем более гибкую функцию фильтрации данных.

        И тебя с наступающим.
        Ответить

      • ava 1024-- 30.12.2014 14:58 # +1

        Кстати, "Если подробнее, суть CSRF в замене страницы." лучше бы удалить, чтоб не путать людей. Тем более, что там дальше понятное объяснение идёт.

        "Если подробнее, суть фишинга в замене страницы."
        Ответить

        • ava bormand 30.12.2014 15:09 # 0

          Лучше всю статью удалить, чтобы не путать людей. Из статьи очевидно, что автор нихуя не понимает что надо экранировать, в каких случаях и зачем.

          P.S. Сорри за маты, я пьян.
          Ответить

          • ava guest 30.12.2014 17:10 # 0

            >нихуя
            >P.S. Сорри за маты, я пьян.
            Да ты охуел. Устроили тут детский сад.

            >Из статьи очевидно, что автор нихуя не понимает что надо экранировать, в каких случаях и зачем.
            А чтобы пользоваться шаблонизатором, и не нужно нихуя понимать. phpкапец++ phpкапец++ phpкапец++
            Ответить

    • ava guest 30.12.2014 17:09 # 0

      >либо использовать класс htmlpurifier, который на мой взгляд неплох.
      Неужто пыхомакаки когда-то поумнеют?

      Чтобы нормально писать на php, надо пописать на питоне, а потом уйти обратно на php. Жалко, ни у кого это еще не получалось.
      Ответить

      • ava Stallman 30.12.2014 17:20 # +1

        >а потом уйти обратно на php
        Но зачем?
        Ответить

        • ava guest 30.12.2014 19:35 # −1

          Я написал, что нужно сделать, чтобы нормально писать на php.
          Ответить

          • ava heyzea1 31.12.2014 14:06 # −2

            Кстати, плюсану, лично у меня после бекграунда с Ruby On Rails квалити кода на php / nodejs повысилось
            Ответить

            • ava Vasiliy 31.12.2014 14:24 # 0

              меня после ROR неделю кошмары мучали. Набуя нeжен еще один php только медленный.
              Вот питончик это да.
              Ответить

              • ava guest 31.12.2014 14:30 # −2

                И что ты на питоне для веба написал?
                Ответить

                • ava Vasiliy 31.12.2014 14:39 # −1

                  на django каталожек для инвентаризации основных средств
                  Ответить

                  • ava guest 31.12.2014 18:13 # −2

                    И после этого на пхп вернулся?
                    Ответить

                    • ava Vasiliy 14.01.2015 20:15 # 0

                      ну я и не уходил с пыха. С пыхом работы все же больше чем с питончиком.
                      Ответить

    Добавить комментарий