1. PHP / Говнокод #4818

    +155

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    $sql = mysql_query("SELECT * FROM `pages` WHERE `url` = '".$_GET['doid']."'") or die("Query error");
    			if ($r = mysql_fetch_array($sql)) {
    			
    				if($r['public']=='1') mysql_query("UPDATE `pages` SET `public` = '0' WHERE `url` = '".$_GET['doid']."'");
    				else mysql_query("UPDATE `pages` SET `public` = '1' WHERE `url` = '".$_GET['doid']."'");
    			
    			}

    Запостил: ZOTTIG, 03 Декабря 2010

    Комментарии (11) RSS

    • Так код не рабочий. ИМХО не рабочий код не может являться ГК по той причине что это не код в принципе.
      Ответить
    • я бы сделал так
      mysql_query("UPDATE `pages` SET `public` = ABS(`public`-1) WHERE `url` = '".$_GET['doid']."'");
      Ответить
    • Хм... Хорошо, сделай так! Ну а гавно-то в чём?! Несовершенство - это ещё не гавно!
      Ответить
    • Типичный SQL-injection. Содержится чуть менее чем во всех PHP сайтах
      Ответить
      • Про инъекции я вообще молчу... Тут вообще много что можно было сделать по другому, но принципиального Г тут нет!
        Ответить
    • Опять у пхпшников $_GET и SQL в одной строчке.
      давайте туда уж и javascript с Html запихаем -- чего мелочица то?
      Ответить
      • причем обязательно в SQL!
        Ответить
        • А логику в GET слабо? Я тут видел эпизодец недавно. Лазил по сайту какого-то хостера, залез в биллинг-панель, а там что-то вроде такого:
          https://......ru/?Eval=eG6h9pd6X2S2n6n%3D
          При раскодировании Base64 внутри оказалась строчка на чём-то до боли напоминающем JavaScript (может, это он и был, хз). Не знаю, подъёбка это или что (отправка закодированного while(1); ни к чему не привела), но сам факт заставил задуматься...
          Ответить

    Добавить комментарий