1. PHP / Говнокод #18381

    +142

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    foreach($_REQUEST as $key => &$val) {
    	$val = htmlspecialchars(stripslashes(trim($val)));
    }
    $officeId = intval($_REQUEST["office-id"]);
    $date = $_REQUEST["date"];
    // [...]

    Эпик вин, однозначно

    Запостил: creamy, 22 Июня 2015

    Комментарии (6) RSS

    • Забодай меня комар!..
      Страйкер и впрямь б-г.
      Ответить
    • А в чем говно?
      Ответить
      • Говно тут в способе фильтрации, где используются функции, имхо, не по назначению:
        stripslashes убирает одинарную кавычку только в говномамонтных версиях php и то, не без шаманства
        htmlspecialchars убирает одинарную кавычку только с ENT_QUOTES
        Ответить
        • А зачем ее убирать? Я чот подумал, что чел хочет убрать автоматический эскейпинг переменных.
          Ответить
          • Интересно, как очистке может поспособствовать htmlspecialchars? Я вот сам не знаю, что чел хотел, но для этого есть env-настройки, наверное.. и то - выпиленные в 5.4...
            Ответить
    • пыхообезъяна запуталась в трех байтах, теперь надо еще удалить из всех параметров слово DELETE в рамках борьбы с Injection.
      Ответить

    Добавить комментарий