1. PHP / Говнокод #563

    +196.1

    1. 1
    $id=mysql_escape_string(htmlspecialchars(trim(intval($_GET['id']))));

    Непробиваемая защита гг

    Запостил: guest, 17 Февраля 2009

    Комментарии (19) RSS

    • не, ну а вжруг найдут уязвисомть в intval?))
      Ответить
    • ебаниииись =)
      Ответить
    • Проходим:
      В таком коде нередко потом можно увидеть:
      mysql_query("SLECT * FROM … WHERE id = ".$_GET['id']);


      :)
      Ответить
    • ft:
      trim(intval( .. ))

      ХА - ХА!
      Ответить
    • Web-Evt:
      хххыы :) Я когда-то сам так писал))))
      Ответить
    • www:
      Самая непрбиаемая
      $id=mysql_real_escape_string(mysql_escape_string(htmlspecialchars($_GET['id'])));
      Ответить
    • 30580:
      if(is_numeric($_GET['id'])) {
      ...
      } else
      return 'ннах';
      Ответить
    • cha0s:
      $id=preg_replace('\D','',$_GET['id']); ?
      Ответить
    • 27:
      [quote=www]Самая непрбиаемая
      $id=mysql_real_escape_string(mysql_escap e_string(htmlspecialchars($_GET['id'])));[/quote]
      не самая
      <?php
      $id=str_replace("'","",$_GET['id']);
      $id=str_replace("`","",$id);
      $id=str_replace("\"","",$id);
      $id=str_replace("\'","",$id);
      $id=str_replace("-","",$id);
      $id=str_replace("--","",$id);
      $id=str_replace("OR","",$id);
      $id=str_replace("TRUNCATE","",$id);
      $id=str_replace("DROP","",$id);
      $id=str_replace("SELECT","",$id);
      $id=str_replace("WHERE","",$id);
      $id=str_replace("AND","",$id);
      $id=str_replace("UNION","",$id);
      $id=str_replace("+","",$id);
      $id=str_replace("*","",$id);
      $id=mysql_real_escape_string(mysql_escape_string(intval(trim(stripslashes(htmlspecialchars($_GET['id']))))));
      if($id!=$_GET['id'] || $id!==$_GET['id'] || !($id===$_GET['id']) || !is_numeric($id))
      {
      	die("ПНХ!");
      	exit;
      }
      
      ?>
      Ответить
    • леха:
      to27

      :))))) зачет
      Ответить
    • shizz:
      27: xD
      Ответить
    • Mazafaka:
      А это же мой код!!!Че бы прикалываетесь он нормальный
      Ответить
    • ZZ:
      $id=(int)$_GET['id'];
      низя так?
      Ответить
    • чат:
      чат мазафаки! ах ха ха не знал чо ты лаиер ыы
      Ответить
    • грешно смеяться над больным человеком!!!
      У меня паранойя, хотя судя по 27 пока еще в латентной фазе))))
      Ответить
    • Dima:
      27, можно добавить
      $id=str_replace("BENCHMARK","",$id);
      Ответить
    • Самое главное забыл!
      $id=str_replace("\0","",$id);
      Ответить
    • таки да
      Ответить

    Добавить комментарий