1. PHP / Говнокод #17936

    +158

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    $apiid = mysql_real_escape_string(substr($_POST['apiid'], 0, 1024));
    $logine = mysql_real_escape_string(substr($_POST['login'], 0, 1024));
    $koef = mysql_real_escape_string(substr($_POST['koefjet'], 0, 1024));
    $balans = mysql_real_escape_string(substr($_POST['balansjet'], 0, 1024));
    $balansz = mysql_real_escape_string(substr($_POST['balanszjet'], 0, 1024));
    $trafbalans = mysql_real_escape_string(substr($_POST['trafbalansjet'], 0, 1024));
    $krbalans = mysql_real_escape_string(substr($_POST['krbalansjet'], 0, 1024));
    $idget = mysql_real_escape_string(substr($_POST['idjet'], 0, 1024));
    $vuz = mysql_real_escape_string(substr($_POST['v'], 0, 1024));
    $percent = mysql_real_escape_string(substr($_POST['percent'], 0, 1024));
    $maxinv = mysql_real_escape_string(substr($_POST['maxinv'], 0, 1024));
    $r = mysql_real_escape_string(substr($_POST['r'], 0, 1024));
    $fio = mysql_real_escape_string(substr($_POST['fio'], 0, 1024));
    $pass = mysql_real_escape_string(substr($_POST['pass'], 0, 1024));
    $obnom = mysql_real_escape_string(substr($_POST['obnom'], 0, 1024));
    $dkot = mysql_real_escape_string(substr($_POST['dkot'], 0, 1024));
    $email = mysql_real_escape_string(substr($_POST['email'], 0, 1024));
    $ppr = mysql_real_escape_string(substr($_POST['ppr'], 0, 1024));
    $procent = mysql_real_escape_string(substr($_POST['procent'], 0, 1024));
    $unikjet = mysql_real_escape_string(substr($_POST['unikjet'], 0, 1024));

    вот так кто-то получал данные формы

    Запостил: podvzbzdnul, 05 Апреля 2015

    Комментарии (29) RSS

    • mysql_real_escape_string_cho_ne_verish_c hto_real_da_ya_zub_dau
      Ответить
      • mysql_blya_budu_real_escape_string
        Ответить
        • А в результате все равно инъекция.
          Ответить
          • Кстати:

            Warning

            This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used.
            ...
            Alternatives to this function include:
            mysqli_real_escape_string()
            PDO::quote()
            Ответить
            • Да да да. Сколько об этом говорили писали. Наконец свершилось а не кто не ждал.
              Ответить
              • Сбой при синтаксическом разборе последнего предложения.
                Ответить
                • Про то что уберут mysql_XXX говорили и писали боле 9000 раз. Но не смотря на это полно достаточно больших проектов которые юзают mysql_XXX. И они не готовы переходить не на MySQLi не на PDO_MySQL.
                  Я тут надумываю написать скриптец который все эти mysql_real_escape_string меняет на bindparam
                  Ответить
            • > will be removed in the future
              Т.е. никогда?
              Ответить
    • >>1024

      1024--, твоих рук дело?!
      Ответить
      • Где здесь ЭКМАСкрипт, kegdan?!
        В мире пхп я лишь скромный гость. В мире пхп я влияния не имею. Это ирония судьбы.
        Ответить
        • Блин, нужно привязать к каждому юзеру какие языки он умеет, а то путаюсь
          Ответить
          • И сертификаты приложить?
            Ответить
            • да нет, под чеснаслова. Какой смысл врать то? Перед кем понтоваться?
              Ответить
        • Ну код в посте вполне мог бы быть валидным ЭКМАСкриптом. Нужно всего лишь объявить недостающие функции и переменные.
          Ответить
    • $_POST = array_map(
          function($value) {
              return mysql_real_escape_string(trim(substr($value, 0, 1024)));
          }, $_POST);
      
      $_GET = array_map(
          function($value) {
              return mysql_real_escape_string(trim(substr($value, 0, 1024)));
          }, $_GET);
      Ответить
      • Тогда уж:
        array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
        	$value = mysql_real_escape_string(trim(substr($value, 0, 1024)));
        });
        Ответить
        • extract(array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
          $value = mysql_real_escape_string(trim(substr($va lue, 0, 1024)));
          }));
          Ответить
          • array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value, $key) {
                    global $$key;
                    $$key = $value = mysql_real_escape_string(trim(substr($value, 0, 1024)));
            });
            
            });
            Ответить
            • да вы наркоманы
              Ответить
            • >$$key
              В освенцим.
              Ответить
            • magic_quotes = On
              Ответить
              • Вот бы в бидоне запилили python.ini с фичей magic_spaces, при включении которой интерпретатор сам бы расставлял отступы, как ему покажется верным.
                Ответить
                • Вот бы в c++ запилили cpp.ini с фичей magic_code, при включении которой компилятор сам пишет код.
                  Ответить
                  • Зачем ждать, когда запилят, если сразу можно перейти на язык, в котором интерпретатор сам исполняет код, как ему покажется верным?
                    Ответить
                • Што?
                  Ответить
    • php_unreal_escape_string()
      Ответить

    Добавить комментарий