- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
- 29
- 30
- 31
- 32
- 33
- 34
- 35
- 36
- 37
- 38
- 39
- 40
- 41
- 42
- 43
- 44
- 45
$login['name'] = stripslashes(strip_tags(trim(htmlspecialchars($login['name']))));
$login['live'] = stripslashes(strip_tags(trim(htmlspecialchars($login['live']))));
$login['mobile'] = stripslashes(strip_tags(trim(htmlspecialchars($login['mobile']))));
$login['operator'] = stripslashes(strip_tags(trim(htmlspecialchars($login['operator']))));
$login['email'] = stripslashes(strip_tags(trim(htmlspecialchars($login['email']))));
$login['about'] = stripslashes(strip_tags(trim(htmlspecialchars($login['about']))));
$data['photo'] = stripslashes(strip_tags(trim(htmlspecialchars($data['photo']))));
$login['wapsite'] = stripslashes(strip_tags(trim(htmlspecialchars($login['wapsite']))));
$login['website'] = stripslashes(strip_tags(trim(htmlspecialchars($login['website']))));
$login['emocii'] = stripslashes(strip_tags(trim(htmlspecialchars($login['emocii']))));
if (empty($action)) {
print '
//тут бадяга типа формы входа
} else {
if (isset($_GET['edit'])){
$newpass = $_POST['newpass'];
$name = $_POST['name'];
$live = $_POST['live'];
$sex = $_POST['sex'];
$mobile = $_POST['mobile'];
$email = $_POST['email'];
$wapurl = $_POST['wapurl'];
$uin = $_POST['uin'];
$foto = $_POST['foto'];
$about = $_POST['about'];
$emocii = $_POST['emocii'];
$q="UPDATE `chat_users` SET
`name`='".mysql_real_escape_string(htmlspecialchars($name))."',
`pass`='".mysql_real_escape_string(htmlspecialchars($newpass))."'
`sex`='".mysql_real_escape_string(htmlspecialchars($sex))."',
`bday`='".mysql_real_escape_string(htmlspecialchars($bday))."'
`bmonth`='".mysql_real_escape_string(htmlspecialchars($bmonth))."',
`byear`='".mysql_real_escape_string(htmlspecialchars($byear))."'
`live`='".mysql_real_escape_string(htmlspecialchars($live))."',
`mobile`='".mysql_real_escape_string(htmlspecialchars($mobile))."'
`email`='".mysql_real_escape_string(htmlspecialchars($email))."',
`website`='".mysql_real_escape_string(htmlspecialchars($wapurl))."'
`website`='".mysql_real_escape_string(htmlspecialchars($weburl))."',
`icq`='".mysql_real_escape_string(htmlspecialchars($uin))."'
`photo`='".mysql_real_escape_string(htmlspecialchars($foto))."',
`about`='".mysql_real_escape_string(htmlspecialchars($about))."'
`emocii`='".mysql_real_escape_string(htmlspecialchars($emocii))."'
аффтар не на шутку обезопасился mysql_real_escape_string(htmlspecialchar s(tratata)) и stripslashes(strip_tags(trim(htmlspecial chars(tratata))))
guest 06.02.2010 22:29 # −4
guest 06.02.2010 22:31 # −12
GoodTalkBot 06.02.2010 22:38 # 0
guest 06.02.2010 22:32 # 0
GoodTalkBot 06.02.2010 22:42 # +1
смешно или не смешно, а говнокод присутствует, разве я неправ? или это сайт типа портал где люди выкладывают фильми etc. А школота кричит "Бойан" ?
guest 06.02.2010 22:53 # −1
Sauron 06.02.2010 23:07 # +5
guest 06.02.2010 23:22 # +6
1. Использование strip_tags() после htmlspecialchars() бессмысленно, поскольку последняя экранирует теги.
2. Использование stripslashes() после htmlspecialchars() также неуместно. Хоть слэши и будут удалены корректно, правильнее было бы удалять их до экранирования. Кроме того, следовало бы отключить magic_quotes, поскольку полагаться на них давно уже никто не полагается, кроме нубов и слоупоков, а в 6-й версии PHP их не будет. А ещё лучше написать враппер, который бы распознавал, выключены ли они, и проводил расслэшивание при необходимости.
3. Проверка существования полей, переданных из формы, не производится. В случае лагов вылезут нотисы, если они не отключены.
4. Копипаста, везде копипаста. За неё надо убивать.
5. Про то, что неплохо бы цивилизованно работать с базой (aka PDO & prepared statements), уж не говорю.
Просьба за очевидность не шпынять, мне просто заняться вечером нечем было =3
GoodTalkBot 06.02.2010 23:25 # +1
ну не радость ли для глаз? может такого говна и очень много сдесь, но увидев это мне захотелось поделится радостью с другими :)))
guest 07.02.2010 14:48 # −5
GoodTalkBot 07.02.2010 14:49 # −3
guest 07.02.2010 21:57 # −2
paranoid 08.02.2010 17:24 # −1
а по стиль в целом: в децтве все мы так кодили
guest 08.02.2010 19:52 # +1
при моем 'децтве' всяких пхп не было
guest 08.02.2010 23:38 # 0
GoodTalkBot 08.02.2010 23:40 # −1
nil 09.02.2010 00:43 # +2
mrbig66 10.02.2010 09:24 # −1
DanxilLs 13.02.2010 03:18 # −1
mysql_real_escape_string($_POST['bla']);
разве доступно для иньекции?
И потом насколько я знаю, htmlspecialchars(); нужно для того чтоб на странице вывода теги и етк не срабатывали нэ?
guest 08.02.2010 23:42 # 0