1. PHP / Говнокод #7536

    +166

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    $text_to_check = mysql_real_escape_string ($_GET["запрос"]);
     
    $text_to_check = strip_tags($text_to_check);
             
    $text_to_check = htmlspecialchars($text_to_check);
     
    $text_to_check = stripslashes($text_to_check);
         
    $text_to_check = addslashes($text_to_check);   
     
    $_GET["запрос"] = $text_to_check;

    все защитил

    Запостил: Sulik78, 12 Августа 2011

    Комментарии (30) RSS

    • Le classiques.
      Ответить
    • > $_GET["запрос"]
      и тут я умер
      Ответить
      • у тебя будут шикарные похороны
        мы тебя не забудим
        Ответить
    • Самое ужасное что это могло бы выглядеть так:

      $_GET["запрос"] = addslashes(stripslashes(htmlspecialchars (strip_tags(mysql_real_escape_string ($_GET["запрос"]))))) ;
      Ответить
      • не знаю как вам, но мне такое читать понятнее, чем сабж
        Ответить
        • А как по мне так оба кода говно.
          Ответить
          • само собой, я про форму записи говорю.
            Ответить
          • я вообще не понимаю зачем в бд хранить html коды, для этого же вроде придумали bb
            Ответить
            • а какая разница, html или bb?
              Ответить
            • bbcode придумали программисты, которым было лень писать нормальный фильтр/парсер html, но нужно было как-то придумать способ форматирования текста без вероятности инъекций зловредного кода
              Ответить
              • бб коды придумали не лентяи, а те кто позаботился о юзерах.
                Ответить
                • Блоги livejournal.com, ya.ru, mail.ru, да и многие другие позволяют спокойно вставлять HTML-код, автоматически фильтруя опасные элементы. Юзеру даже учить дурацкие ББ-коды не нужно.

                  Изобретение лишнего языка — это забота о юзерах?
                  Ответить
                  • Юзеры утруждающие учить себя «умный» HTML...
                    "I have a dream..."(c)

                    Так и представляется типичный пользователь мыйл.ру в процессе штудирования
                    «HTML5 A vocabulary and associated APIs for HTML and XHTML W3C Working Draft 25 May 2011»
                    Ответить
                    • Для того, чтобы вставить картинку, мне надо учить весь стандарт черновик по HTML5, учитывая, что половину атрибутов и тегов mail.ru всё равно удалит? Кстати, список поддерживаемых тегов с примерами использования есть в хелпе: http://img.mail.ru/r/blogs/tags.html. На самом деле, их поддерживается чуть больше (в частности, таблицы и стили), но типичному пользователю хватит и этого.

                      Тем более, зачем учить HTML, если в тех же блогах есть визуальный редактор?

                      Чем
                      [img]http://govnokod.ru/files/images/pony.jpg[/img]
                      для обычного пользователя лучше, чем
                      <img src="http://govnokod.ru/files/images/pony.jpg">
                      ?
                      Ответить
                      • bb коды придуманы не для макак неспособных выучить html, а для безопасности.
                        Ответить
                        • >> безопасности
                          http://govnokod.ru/7536#comment102285
                          Ответить
                        • Чем [img]ссылка[/img] безопаснее кода <img src="ссылка">, у которого атрибуты отфильтрованы?
                          Ответить
                          • Атрибуты сложней фильтровать
                            Ответить
                            • Порядок обработки bbcodes:
                              1. Ищем поддерживаемые теги.
                              2. Заменяем каждый найденный тег на html-код.
                              3. От беды заменяем все < в неразобранной части на &lt;

                              Порядок обработки html:
                              1. Ищем поддерживаемые теги.
                              2. Заменяем каждый найденный тег на html-код с урезанным набором атрибутов.
                              3. Заменяем в оставшихся случаях < на &lt;

                              Заменить html на html сложнее, чем bb на html?
                              Ответить
                        • ... придуманы макаками, неспособными обработать HTML ...
                          fixed that for you
                          Ответить
                    • ну, есть и дышать моим воздухом они научились, почему бы не выучить inline-элементы?
                      Ответить
              • причём попытки расширения обычно кончаются инъекцией инлайн-стилей :-D
                Ответить
        • >мне такое читать понятнее
          Вы же латентный функциональщик, батенька...
          Ответить
    • показать все, что скрытоvanished
      Ответить

    Добавить комментарий