Говнокод #4163 — PHP — Говнокод.ру

Lure Of Chaos 03.09.2010 19:12 # −1

опять пхп, опять мартышкокод. Судя по всему, чей-то эксперимент самообучения в пхп

странная, конечно, логика - убирать протокол, а потом вставлять... Наверное, это, типа что бы он обязательно был, но один раз.
а к тому же не учтено, что протокол может оказаться не только вначале (хотя, если правильно, то должен быть проэскейпен)
про echo, наверное, скажет кто-нибудь другой, но больше меня насмешило хардкод название 123.

Ответить

Lure Of Chaos 03.09.2010 19:13 # +1

если это будет доступно не только из локалхоста, то привет code injecting + xss

Ответить

telnet 03.09.2010 19:24 # +1

Скорее небо упадёт на землю и Дунай повернёт вспять мелкомягкие сделают винду опенсорц, чем мартышки научатся писать на PHP без code injecting и XSS.
Ответить
- Lure Of Chaos 03.09.2010 19:30 # −2
  
  попытка подумать об этом за них обернулась эпичным фейлом (я про "волшебные кавычки")
  
  дело в том, что в книжках для начинающих об этом ни гугу. Я тоже, помнится, узнал о проблеме безопасности, считаю, поздновато. Нет, ничего не сломали, но, помнится, зафиксировал попытку ввода "странных" данных - скобки, кавычки и пр. Тогда даже не понял, зачем...
  Ответить
  - 1_and_0 03.09.2010 19:39 # +2
    
    А нас в универе на курсаче натаскали, препод которому сдавали, ох как любил в геты и формы пихать одинарные кавычки! =)
    Ответить
    - Lure Of Chaos 03.09.2010 19:50 # −2
      
      ну на одних кавычках далеко не уедешь... по-моему, следовало бы в универах для информатиков сделать специальный курс "информационная безопасность"... тогда бы был толк.
      даа что говорить! если вот в школах деток учат математике, физике, химии, биологии, а межличностным и межполовым отношениям - нет. Напротив, были когда-то предметы в школе "этика", "религия" - так ведь тоже отменили, мол, за ненадобностью! То есть, ребенок тригонометрию среди ночи тебе отчеканит, а как решать повседневные проблемы и конфликты - он либо не знает, либо "просвещается" там и так, как точно только во вред...
      Ответить
      - telnet 03.09.2010 20:45 # −1
        
        Оффтопите. Хотя, скажем так, очень даже есть с чем согласиться.
        Ответить
        
        Lure Of Chaos 03.09.2010 22:04 # −3
        
        по-моему, оффтоп не редкость и весьма даже увлекательно (за пруфами полазьте по гк.ру, залезая в посты, где комментов около 300 или больше)
        Ответить
        
        telnet 04.09.2010 05:37 # +3
        
        Да я понимаю... Просто как раз со внезапного оффтопа обычно такие 300-комментные простыни и стартуют. Не хотет.
        Ответить
      - hybroid 03.09.2010 22:02 # 0
        
        у меня, между прочим, даже мифология была.. отдельный такой предмет. этика тоже. в технаре идеология была =)
        Ответить
        
        Lure Of Chaos 03.09.2010 22:05 # 0
        
        но тоже не совсем практичное )
        Ответить
    - gEKA6PbCKuu_nemyx 22.12.2021 12:23 # 0
      
      Ну как, натаскали?
      Ответить
- Lure Of Chaos 03.09.2010 19:40 # −2
  
  и еще, проблема посерьезней в том, что анализ безопасности требует не только опыта, но и внимательных и тщательных проверок (недосмотрел с недосыпу - и полезли в дыру там, где, как казалось, ее точно быть не может)... А у обезьянок если мозг есть, то только в жопе спинной....
  Ответить
  - 1_and_0 03.09.2010 19:58 # 0
    
    При организации проекта моделью MVC из форм и псевдо "GET" уж очень трудно пробиться куда-нибудь и чего-нибудь поломать, контроллером все можно отловить и проверить.
    Ответить
    - Lure Of Chaos 03.09.2010 20:01 # −2
      
      конечно, можно, особенно если писать параноидальный код. Просто не всегда известно, что где и как надо проверять - что бы и надежность, и функциональность была, и производительность
      Ответить
      - 1_and_0 03.09.2010 20:35 # 0
        
        Ну, не критичное, можно повесить на JS, а вот от чего может база пострадать, или хостинг то да, надо поднатужиться и правильно написать, так что, решения есть всегда.
        Ответить
        
        Lure Of Chaos 03.09.2010 20:39 # −2
        
        всмысле, "серверу не больно?"
        Ответить
        
        1_and_0 03.09.2010 20:42 # 0
        
        Не понял вопроса?
        Больно конечно, кому будет приятно, если сайт работал работал, а на него, к примеру повесили инклудом брут хешированных паролей от левого сайта, хрена, мощности серваку не занимать, но все же ресурсов будет жечь немерено.
        Ответить
        
        Lure Of Chaos 03.09.2010 21:05 # −1
        
        всмысле - не стоит перегружать код
        Ответить
  - 1_and_0 03.09.2010 19:58 # 0
    
    А обезьянки никогда до моделей проектирования информационных систем и не доберутся, так и будут сидеть и весь сайт в index.php хреначить, объемом 8к строк...
    Ответить
    - Lure Of Chaos 03.09.2010 20:04 # −2
      
      есть надежда, что некоторыми на 9- ом К копипаста приестся и будут искать способы, как писать поменьше, а заодно - и понятнее. и наконец до финиша единицы доползут
      Ответить
    - telnet 03.09.2010 20:42 # +1
      
      > index.php хреначить, объемом 8к строк...
      Тонкий намёк на Rumba CMS? У неё ещё автор с таким пафосным ником ходит - Maestro - и удаляет неугодные комменты X))
      Ответить
      - 1_and_0 03.09.2010 20:51 # 0
        
        http://habrahabr.ru/blogs/webdev/103167/
        
        вот где профи..., эх..., дорасти бы...
        Ответить
  - telnet 03.09.2010 20:48 # 0
    
    Смотря как к делу подходить. Если повесить перед собой плакат "товарищ! при составлении запросов приводи целочисленные вещи к целому типу, а строки пропускай через mysql_real_escape_string()!", можно с недосыпу и обломаться. А если всю грязную работу поручить query builder'у, шансы что-то по-крутому зафейлить резко падают. Хотя необходимости использовать голову это тоже не отменяет.
    Ответить
    - Lure Of Chaos 03.09.2010 21:07 # −2
      
      где здесь mysql? - т.е. разговор не только о слое работы с бд, но и других.
      Ответить
      - telnet 03.09.2010 21:20 # 0
        
        Надо было яснее выразиться. Тот самый недосып сказывается =) Конкретно я комментировал вот это:
        > анализ безопасности требует не только опыта, но и внимательных и тщательных проверок (недосмотрел с недосыпу - и полезли в дыру
        ...а составление запросов привёл лишь как пример того, что в ряде случаев ручную заботу о безопасности возможно эффективно заменить автоматикой. До обезьянок это, кстати, частенько не доходит. Собственно, почему запросы-то вспомнились: мне известны случаи, когда последователи тупых авторов тупой литературы по PHP писали несколько сот килобайт кода с использованием ручного приведения типов и экранирования. Сляпать примитивнейший квери билдер хотя бы для INSERT'ов соображалки недоставало. Вопрос поиска дырок в их поделках сводился лишь к внимательному чтению кода.
        Ответить
        
        Lure Of Chaos 03.09.2010 21:49 # −3
        
        не всегда все так просто. иногда дыра появляется в результате не до мелочей продуманного и предусмотренного взаимодействия нескольких частей системы - одна часть передает другой данные, думая, что другая их проверит, а другая полностью доверяет первой, почему-то подумав, что за нее все сделала первая.
        вот в пример громкий провал мелкомягких: http://habrahabr.ru/company/eset/blog/102549/
        Ответить
        
        telnet 03.09.2010 21:53 # 0
        
        За статью спасибо, интересно. А по теме:
        > не всегда все так просто
        Так я и говорю,
        > в ряде случаев
        .
        Ответить
        
        Lure Of Chaos 03.09.2010 21:56 # −4
        
        отлично, дискуссию можно считать завершенной.
        
        а хабрахабр рекомендуется в закладки для ежедневного просмотра. Потому как очень мало столь интересных ИТ-ресурсов
        Ответить
        
        Мартин 05.09.2010 08:35 # −2
        
        Каждый день читаю хабру)))
        Ответить
        
        1_and_0 03.09.2010 22:03 # 0
        
        Недавно в проекте который дорабатывал столкнулся с этим, посмотрел как человек написал, в контроллер данные поступили, он их прямиком в модель, думаю, ну щас там обработает, ага.., щас.. прям в базу без обработки...
        Ответить
        
        Lure Of Chaos 03.09.2010 22:16 # −2
        
        я как то при изучении темы безопасного программирования задался вопросом:
        
        при прохождении "потока" данных по слоям приложения где и как нужно эти данные фильтровать?
        
        эмпирически потыкав и набив шишек пришел к выводу:
        фильтровать данные каждый слой должен в своей манере.
        то есть, когда приходят данные
        1. Request проверяет правильность формата данных, то есть, если ожидается число, то он должен гарантированно вернуть число или сигнал о нештатной ситуации
        2. DAO должен эскейпить входящие данные, как минимум через mysql_real_escape_string
        3. View должен проэкскейпить все данные, к примеру, на htmlentities
        
        При этом, например, Request НЕ должен эскейпить данные "сразу" для View'а - иначе рискуем получить кашу и в логике и в представлении
        Ответить
        
        1_and_0 03.09.2010 22:24 # 0
        
        А я почти к такому же выводу пришел, только на View делаю JS, в котроллере привожу к типу int если где это надо, ну и остальное проверяем, а в модели перед занесением делаю mysql_real_escape_string, пока сбоев не было =)
        Ответить
        
        Lure Of Chaos 03.09.2010 22:29 # −2
        
        > пока сбоев не было
        или вас не уведомили
        Ответить
        
        1_and_0 03.09.2010 22:32 # 0
        
        Думаю уведомили бы, если бы произошло что то подозрительное с данными, админы сайта не дремлют))
        Ответить
        
        Lure Of Chaos 03.09.2010 22:37 # −1
        
        ну или просто тихо слили нужные данные, и аукнулось не у вас, а где-то рядом...
        это я не вас пытаюсь уязвить, такой сценарий возможен у каждого, и вполне возможно, что происходил у меня....
        Ответить
        
        Lure Of Chaos 03.09.2010 22:35 # −2
        
        > на View делаю JS
        это как понимать? типа rich client application?
        Ответить
        
        Анонимус 04.09.2010 00:25 # +3
        
        Кеп думает так:
        Внутри приложения, между подсистемами должны ходить девственно-наивные данные. Если там есть строка '2' < "3" -- то так там и должно быть.
        Вью должен превращать < в энтити. DAO должен экранировать ".
        
        Нет ничего тупее ситуации, когда в базе хранят заэскейпленные десять раз кавычки и замененные на энтити значки "меньше".
        
        А все почему?
        Потому что ХТМЛ -- нифига не единственный вью. И SQL не единственный DAO.
        Чем больше прогер об этом помнит -- тем лучше получается приложение.
        
        Напиши консольный UI к Вашему приложению. Заставьте его хранить данные в LDAPе. И сразу станет понятно -- где оно красивое, а где -- говно)
        Ответить
        
        Lure Of Chaos 04.09.2010 00:29 # −1
        
        для меня это не было очевидно с самого начала. пробовал даже хранить в бд данные уже "заэнтитированные". но набил шишек и все понял. каждая компонента приложения должна сама проверять, что ей суют, и не беспокоиться о тех, кому еще может передать
        Ответить
        
        Анонимус 04.09.2010 00:31 # 0
        
        Для меня изначально -- тоже. С опытом приходит)
        полезно заюзать какой-нить dependency injection, склеить им пяток подсистем, и покрыть каждую юнит-тестами.
        
        Сразу мозг становится на место)
        Ответить
        
        Lure Of Chaos 04.09.2010 00:38 # −1
        
        юнит-тесты... весьма необходимая штука, но не панацея от плохого кода
        а вот мозги проветрить - оно самое. лучше, чем продакшн потом обвалится
        Ответить
        
        Анонимус 04.09.2010 00:40 # 0
        
        >>но не панацея от плохого кода
        но ОЧЕНЬ помогает. Если у Вас каша из логики, вью и дао -- то хрен Вы это оттестируете.
        
        Именно желание тестировать логику заставило многих писать нормальный код)))
        Ответить
        
        Lure Of Chaos 04.09.2010 00:50 # −1
        
        > Если у Вас каша из логики, вью и дао -- то хрен Вы это оттестируете.
        по старинке, дебагом принтами ))))
        а так все верно - для тестов нужна модульность и точки входа и выхода.
        
        > Именно желание тестировать логику заставило многих писать нормальный код)))
        и сюда еще вспомните test-driven development
        Ответить
        
        Анонимус 04.09.2010 00:54 # +1
        
        >>по старинке, дебагом принтами ))))
        А вот что бы не было пагубного желания дебагов и принтов надо настроить continues integration на чем нибудь типа cruise control или teamcity.
        
        Что бы безжалостный робот, не понимающий принтов и дебагов запускал ВСЕ юнит тесты после каждого коммита, и слал письма если тесты упали.
        Ответить
        
        Lure Of Chaos 04.09.2010 00:58 # −1
        
        ситуация падения тестов - обычная для процесса разработки, а коммитить нужно чаще, чем заканчивать разработку какого-то модуля
        
        а необходимость дебага - напротив, внештатная ситуация (а мы-то были уверены, что все хорошо!)
        Ответить
        
        Анонимус 04.09.2010 01:00 # 0
        
        ну, закоммиченный код должен, как минимум, компилироваться и работать. Если хочется коммитить чаще -- надо бранчеваться или делать шелф.
        Ответить
        
        Lure Of Chaos 04.09.2010 01:01 # −1
        
        все до буквы верно
        Ответить
        
        Lure Of Chaos 04.09.2010 01:00 # 0
        
        *шепотом* Continuous Integration
        Ответить
        
        Анонимус 04.09.2010 01:01 # 0
        
        <big>grammar nazi</big>
        Ответить
        
        Lure Of Chaos 04.09.2010 01:03 # −1
        
        я я, натюрлих!
        Ответить
        
        Анонимус 04.09.2010 02:15 # 0
        
        на счет старинки вспомнил, как было как-то в гостях у знакомого пыхаписта, у которого сына (лет 15ти) отдали обучаться программированию в какой-то крутой кружок.
        И там его (как и полагается) учат борланд сям. Тем самым, с IDE на тубробвижине под дос, как меня в 98м:)
        
        Парень писал какую-то игрушку на псевдографике (типа змейки), и запутался в ней. И папаша говорит ему: "сделай принт переменной и посмотри".
        
        Я возмутился, и показал как у борланда ставить брекпоинт.
        
        А потом оказалось что пхпшник пишет в эдитплюсе, и ищет баги с помощью echo, хотя он не глупый совершенно.
        Ответить
        
        Lure Of Chaos 04.09.2010 18:09 # 0
        
        > А потом оказалось что пхпшник пишет в эдитплюсе, и ищет баги с помощью echo, хотя он не глупый совершенно.
        
        мне как-то "свезло" работать в одной шарашке, там писали в эдитплюсах, дебажили принтами, разрабатываемую версию клали на тестовый сервак через фтп, и постоянно бегали спрашивали, кто с какими файлами работает, что бы не потерять результаты чужой работы = )
        натурально, что мои предложения каждому поставить у себя локальный хампп и эклипс, и начать пользоваться свн'ом не были поняты.
        тогда я поработал немного и сбег оттуда - до того, как надо будет раслебывать какой нить тотальный пиздец
        Ответить
    - Анонимус 03.09.2010 21:31 # +1
      
      а если юзать PDO + prepared statements, то об sql-inj можно забыть впринципе
      Ответить
      - telnet 03.09.2010 21:40 # +4
        
        Кэп, я к тому же клоню, в общем-то. И, опять же, факт в том, что обезьянкам этого не понять.
        Ответить
mr.The 03.09.2010 20:59 # 0

Может я слоу, но где там code-inj? Там только xss же.
Ответить
- bugmenot 03.09.2010 21:29 # +1
  
  Там мелькал какой-то странный термин code injecting, прежде чем они провалились в гуммунитарную ноосферу. Самого интересного нет.
  Ответить
- Lure Of Chaos 03.09.2010 23:39 # −6
  
  показать все, что скрытоcode-inj в 4ой строке: echo '<a href="http://$url">123</a>';
  сюда можно целую хтмл страницу вместо $url вляпать -это и будет code injecting, и как частный случай, xss - смотря что туда вляпывать. Например, тот же дефейс произвести - это не xss будет
  Ответить
  - Uchkuma 03.09.2010 23:44 # +5
    
    Это Вы, батенька, погорячились. Сюда не то что code injecting, сюда даже законный URL не воткнется!
    Так-то.
    Ответить
    - Lure Of Chaos 03.09.2010 23:48 # −1
      
      тьху ты, магический $ сбил с толку, тут же одинарные кавычки, точно
      спасибо за тыкание носом
      Ответить
      - Мартин 05.09.2010 08:44 # 0
        
        Вообще вы правы. Пхп инекция стала работать вместе с ссылкой, когда я подсказал автору почему код не работал (сам привел оригинальный, как он написал). Он тоже спутал одинарные ковычки с двойными)
        Ответить
        
        Lure Of Chaos 05.09.2010 10:25 # −1
        
        а про иньекцию вы умолчали? ))))
        Ответить

Uchkuma 03.09.2010 23:40 # +2

Ну и нафига постить на ГК даже нерабочий код?
Весь интерес в том, чтобы автор этого говна с "чистой" совестью мог сказать: "Но ведь работает же!" ))

Ответить

Lure Of Chaos 03.09.2010 23:49 # −2

работает. но не так, как надо )))
Ответить
Мартин 05.09.2010 08:46 # 0

> Весь интерес в том, чтобы автор этого говна с "чистой" совестью мог сказать: "Но ведь работает же!" ))
Не знал. На будущее учту. Думал что оригинальный код автора будет интереснее, чем работающий после моей подсказки (сказал, чтобы заменил на echo '<a href="'.http://$url.'">123</a>';
Ответить
- Uchkuma 05.09.2010 10:28 # +1
  
  А это вызовет: Parse error: syntax error, unexpected ':', т.к. "http" будет принято за константу. А оставшаяся часть строки и вовсе закомментирована :)
  Ответить

Uchkuma 03.09.2010 23:47 # +6

А развели-то, развели... code injecting... xss...
Кавычки одинарные!

Ответить

Lure Of Chaos 03.09.2010 23:50 # 0

пятницо. в глазах двоится.
и это правильно
Ответить

cheef 06.09.2010 13:03 # −1

http_build_url($url, array('scheme' => 'http'));

Ответить

Говнокод: по колено в коде.

PHP / Говнокод #4163

Комментарии (68) RSS

Добавить комментарий