1. PHP / Говнокод #19407

    −2

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    if (Yii::$app->request->post()) {
            $owner = User::userInfo();
            $model->manager = $owner['id'];
            $model->owner = $owner['id'];
            $model->iscarrier = $owner['iscarrier'];
            $model->isactual = 1;
            if ($model->load(Yii::$app->request->post())) {
                $model->save();
            }
            return $this->redirect(['index']);
 }

    Б-Безопасность

    Запостил: NotFake, 05 Февраля 2016

    Комментарии (6) RSS

    • ava guest 05.02.2016 17:04 # −1

      В чем юмор? Модели в Yii фильтруют данные перед сохранением.
      Ответить

    • ava guest 06.02.2016 14:04 # 0

      В том что в post можно передать данные которые перезапишут предварительно записанные user owner.
      Ответить

    • ava guest 09.02.2016 08:58 # 0

      И где тут говнокод ?
      Ответить

    • ava Nemesys 10.02.2016 13:16 # 0

      мы не знаем, какой scenario активен у модели, и поэтому не знаем перезапишет ли Post предварительно записанные user owner свойства. Быть может scenario запрещает устанавливать свойства manager, owner, iscarrier, isactual. И поэтому, такой код имеет право существовать
      Ответить

      • ava NotFake 22.03.2016 16:27 # 0

        f12, добавляем в форме поле owner, вносим записи в БД от имени других пользователей
        Ответить

    Добавить комментарий