Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
+2
$DB->Query("UPDATE b_search_content SET TITLE ='".$name."' WHERE URL='".$URL."' AND PARAM1='USER'" );
$DB->Query("UPDATE b_search_content SET TITLE = CONCAT(TITLE,' тел.' '". $phone ." ' ' ' '". $email."' ) WHERE URL='".$URL."' AND PARAM1='USER'" );Перед одним сотрудником встала задача изменить содержимое поля индексной таблицы в Bitrix...
Запостил: 
omar,
12 Октября 2017
Follow us!
Учитывая, что в ПХП половина стандартных функций deprecated, примерно так и нужно искать актуальные.
он может иметь права на удаление таблиц
DROP TABLE типа?
да
Емнип, кот "безопасен" в этом плане совсем по другой причине - пыхомускуль по дефолту не умеет 2 запроса в одной строке.
Не надо понимать эти функции, и не надо их использовать. Все проекты на Bitrix надо саботировать, при первой же правке коммитить им бекдор и ломать продакшен, каждый день, пусть бекапятся. Когда им надоест -- предложить перевести на ларавафел или симфони или чо там есть.
--Понимаете, мы потом собираем из имени URL, и посылаем его в базу, и там может случиться SQL инъекция. Может быть попробуете другое имя?
https://xkcd.ru/327/
ыы;)
В это настолько распространенная практика, особенно в пыхомирке, что способна смутить только совсем зелёного джуна, прочитавшего "Совершенный код" и впервые узревшего реальный коммерческий говнокод.
К тому же, не все тут битриксмакаки, что бы знать, что в этом вашем битриксе есть, а чего нет.
Обсуждать говнокод или нет в отрыве от контекста - вообще глупое занятие. Ну давайте взглянем на этот код: параметры могли быть обработаны до этих двух строк. Первая строка, да просто в запарке удалить забыл (ведь вторая просто перекрывает действие первой). Разве такое достойно рассмотрения на гвонокоде? Да такого добра в любом проекте можно найти. А может там какой то хитрый триггер в БДесть, и нужно именно эти два запроса в такой последовательности.... (тогда это уже ближе к теме, но нужен и триггер)
Вообще так сложилось это год занимаюсь вытаскиванием проектов на Битрикс из Ж. Там где работали чайники это понятно и не интересно. Но вот море случаев, где код написан явно не плохим PHPшником. (просто он ввиду лени или
высокой самооценки) не разобрался с битриксом.. В итоге: если поместить его код здесь: все скажут все правильно сделано, даже красиво... Но!. С учетом того, что это битрикс, все же код, при всей "красоте", является быдлокодом.
И тут собственно все так же для любого языка. И красивый код написанный в стиле (утрировано) MFC , будет в Qt проекте быдлокодом.
ИМХО ;)
Данная таблица может быть пересоздана кликом админа (или того кому, таковые права предоставлены) по кнопке в админке. В принципе при обновлении Битрикс, может выскочить плашка "необходимо пересоздать индекс". (А на некоторых проектах встречал вообще на крон сажали полную переиндексацию) Чтобы эти изменения не похерились они должны учитываться при переиндексации. Следовательно, этот код должен быть либо в системных скриптах (что грубая ошибка при работе с любой системой), либо в обработчике соответствующего события (единственно правильное решение). Фишка в том, что в обработчик поступают все необходимые поля, и в базе ни чего править не надо.
Хороший программист не должен приводит систему в состояние, когда нарушается стандартное поведение системы. Т.е. там надо либо писать документацию, запрещать обновления, и закрывать часть штатного функционала. Иначе, при смене программиста. Попробуйте как то покататься на велосипеде у которого при повороте руля в одну сторону, колесо поворачивает в другую. Со своими таблицами/сущностями можно делать все что угодно. С системными, а точнее сущностями других разработчиков, это уже само по себе быдлоподход.
Теперь к хайлоаду. Этот данный конкретный случай здесь каким боком? Проект с миллиардами пользователей, по которым опупеть как нужен поиск? Точнее даже так. Это должен быть проект на который постоянно скриптами заливают новых пользователей пачками по несколько сотен тысяч.
Нужно оптимайзить эти 20%, а на остальное похуй.
Именно потому всё пишут на ЯПах высокого уровня, а затем оптимайзят ботлнонеки.
Тоже самое и с ORM: в джанге, например, принято для всего юзать ORM, а если конкретное место тормозит то его просто переписывают на raw SQL.
Ок если тут "хайлоад" тогда надо отказываться от стандартной таблицы, и не тащить с ней груз универсальности. А создавать свою таблицу и вписывать в логику работы: это будет и более правильно, и более шустро работать, не потеряется возможность обновлять систему.
Тут надо понять одно: битрикс, как и любая другая CMS это универсальный инструмент, под широкий круг задач. И если у вас проект высоко нагруженный, в узких местах вам необходимо избавиться от не нужного функционала. И решение со своей заточенной под проект таблицей будет работать быстрее и надежнее (если конечно грамотный программист) даже с использованием ОРМ, чем костыли в стандартном функционале с прямыми обращениями. Ну или уж если костылить, тогда быстрее все это запихнуть в триггер БД. (вроде было выше, что данные все берутся из оной).