Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5703)
2. C++ (2739)
3. Куча (2337)
4. JavaScript (2030)
5. C# (1929)
6. Java (1503)
7. Си (1102)
8. Pascal (649)
9. Python (585)
10. 1C (536)
11. SQL (434)
12. ActionScript (294)
13. Objective C (204)
14. bash (200)
15. Perl (196)
16. Assembler (148)
17. Ruby (144)
18. VisualBasic (140)
19. Lua (51)
20. Go (31)
21. Swift (29)
22. Haskell (28)
23. Kotlin (15)

1. PHP / Говнокод #7439

   +160

   1. 01
   2. 02
   3. 03
   4. 04
   5. 05
   6. 06
   7. 07
   8. 08
   9. 09
   10. 10
   11. 11
   12. 12
   13. 13
   14. 14
   15. 15
   16. 16
   17. 17
   18. 18
   19. 19
   20. 20
   21. 21
   22. 22
   23. 23
   24. 24
   25. 25
   26. 26
   27. 27
   28. 28
   29. 29
   30. 30
   31. 31
   32. 32
   33. 33
   34. 34
   35. 35
   36. 36
   37. 37
   38. 38
   39. 39

   // File: /controllers/register.php
   
   //......
   $sql = 'INSERT INTO `users` SET `ID`=NULL, `login`="'.mysql_real_escape_string(substr($_POST['login'], 0, 12)).'", `pass`= blah blah blah....';
   //......
   
   
   
   // File: /templates/default/index.tpl
   /*
   //... 
   <td><div>Hello, <b>{LOGIN}</b></div><!---- blah blah blah ---><div>Server time: <?php echo getCurrentTime();?></div>
   //
   */
   
   
   //File: /index.php
   
   //......
   $sql = 'SELECT * FROM `users` WHERE `id`=........';
   $data = SYS::$db->getDataRow($sql);
   if(sizeof($data)>0) {
         showTeplate(TEMPLATE_NAME, 'index', $data);
   }
   //......
   
   //Function showTeplate();
   
   function showTeplate($tpl_name, $file_name, $data) {
          $template_code = file_get_contents(TPL_PATH.'/'.$tpl_name.'/'.$file_name.'.'.TPL_EXT);
          foreach($data as $name=>$value) {
                 $template_code = str_replace('{'.strtoupper($name).'}', $value, $template_code);
          }
          
         //......
          eval($template_code);
         //......
   
   }

   Внимание, загадка! Найти уязвимость.

   Запостил: jokz, 04 Августа 2011

   Tweet

   Комментарии (24) RSS

   • striker 04.08.2011 03:44 # +2

     не вижу нигде htmlspecialchars, поэтому, если ввести в логин произвольный html+js код, то он выполнится

     Ответить

     • lucidfox 04.08.2011 06:22 # +1

       Даже хуже: если ввести в логин произвольный PHP-код, то он выполнится на сервере.

       Ответить

       • jQuery 04.08.2011 09:20 # 0

         где тут eval?

         Ответить

         • ling 04.08.2011 10:01 # +10

           Кого eval?

           Ответить

         • lucidfox 04.08.2011 10:33 # +3

           > eval($template_code);

           Ответить

   • guest 04.08.2011 06:46 # −2

     Ноу вордс...

     Ответить

   • guest 04.08.2011 07:20 # −3

     // File: /controllers/register.hpp

     Ответить

   • jokz 05.08.2011 22:39 # 0

     lucidfox, молодец. На вид более менее удобоваримый код, ну подумаешь XSS, но там даже обрезается переменная до 12ти символов, уже не вариант никак эту уязвимость использовать. Но если внимательно присмотреться, тут просто эпический пиздец, исполнение PHP кода.

     Ответить

     • guest 06.08.2011 00:04 # −2

       да всё путём. для пхп это нормально

       Ответить

       • jokz 06.08.2011 00:10 # +2

         извини, а при чем здесь PHP? помоему тут решающую роль играет долбоебизм

         Ответить

         • guest 06.08.2011 00:11 # −2

           да, но php выращивает долбоёбов

           Ответить

           • jokz 06.08.2011 00:39 # 0

             а можно объективные аргументы, почему?

             Ответить

             • Vasiliy 06.08.2011 01:25 # −1

               Какие на хуй аргументы просто на лурке написано что пхп говно. Вот и весь аргумент.

               Ответить

               • k1011 15.08.2011 00:36 # 0

                 ах да.. теперь только один язык программирования хорош - ваш ! Вам так повезло !

                 Ответить

                 • Vasiliy 15.08.2011 15:01 # −1

                   Это Вы к чему???

                   Ответить

                   • k1011 15.08.2011 15:46 # 0

                     Извините сорвался. PHP не говно, просто быдло-кодеров в PHP больше чем в других языках программирования..

                     Ответить

                     • bugmenot 15.08.2011 20:37 # +1

                       > PHP не говно
                       Теперь опять придется извиняться.

                       Ответить

             • guest 06.08.2011 01:41 # −1

               Не постоянное направление развития языка и его стандартной библиотеки превратило его в несвязанное говно. Сотни старых функций и фич пересекаются и противоречат новым.

               Ответить

               • Vasiliy 06.08.2011 09:09 # 0

                 противоречат ??? Где они противоречат ?

                 Ответить

               • jokz 06.08.2011 16:49 # −1

                 "Непостоянное" вместе пишется

                 Ответить

             • guest 06.08.2011 01:42 # −1

               прыщавые соски рекламируют в своих кругах пхп и подсаживают на него новых прыщеблядей

               Ответить

             • guest 06.08.2011 01:43 # −3

               низкий порог вхождения

               Ответить

             • jokz 06.08.2011 16:44 # −2

               да, правда, какие мощные аргументы. Почему если PHP гавно, то Python, Ruby, Perl не говно? да, к слову, в с++, с#, такое невъебенное развитие идет, ясен хрен, не то что в пхп.

               Ответить

           • k1011 15.08.2011 00:38 # 0

             Я так понял это горький опыт с личной жизни

             Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только в понедельник, среду, четверг или воскресение

   Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *