Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5703)
2. C++ (2740)
3. Куча (2337)
4. JavaScript (2030)
5. C# (1929)
6. Java (1503)
7. Си (1103)
8. Pascal (649)
9. Python (585)
10. 1C (536)
11. SQL (434)
12. ActionScript (294)
13. Objective C (204)
14. bash (200)
15. Perl (196)
16. Assembler (148)
17. Ruby (144)
18. VisualBasic (140)
19. Lua (51)
20. Go (32)
21. Swift (29)
22. Haskell (28)
23. Kotlin (15)

1. PHP / Говнокод #9902

   +133

   1. 01
   2. 02
   3. 03
   4. 04
   5. 05
   6. 06
   7. 07
   8. 08
   9. 09
   10. 10
   11. 11
   12. 12
   13. 13
   14. 14
   15. 15
   16. 16
   17. 17
   18. 18
   19. 19
   20. 20
   21. 21
   22. 22
   23. 23
   24. 24
   25. 25
   26. 26
   27. 27
   28. 28
   29. 29
   30. 30
   31. 31
   32. 32
   33. 33
   34. 34
   35. 35
   36. 36
   37. 37
   38. 38
   39. 39
   40. 40
   41. 41
   42. 42
   43. 43
   44. 44
   45. 45
   46. 46
   47. 47
   48. 48
   49. 49
   50. 50
   51. 51
   52. 52
   53. 53
   54. 54
   55. 55
   56. 56
   57. 57
   58. 58

   <?php
   
   class InitVars {
   # Недопустимые слова в запросах
           var $deny_words = array("union","char","select","update","group","order","benchmark","null","/*","UNION","CHAR","SELECT","UPDATE","GROUP","ORDER","BENCHMARK","NULL",);
   
   function InitVars() {
   }
   
   # Метод конвентирует суперглобальные массивы $_POST, $_GET в перемнные
   # Например : $_GET['psw'] будет переобразовано в $psw с тем же значением
   function convertArray2Vars () {
   
           foreach($_GET as $_ind => $_val) {
                   global $$_ind;
                   if(is_array($$_ind)) $$_ind = htmlspecialchars(stripslashes($_val));
           }
   
           foreach($_POST as $_ind => $_val) {
                   global $$_ind;
                   if(is_array($$_ind)) $$_ind = htmlspecialchars(stripslashes($_val));
   
           }
   }
   
   # Метод проверяет $_GET и $_POST переменные на наличие опасных данных и SQL инъекций
   function checkVars() {
           //Проверка опасных данных.
           foreach($_GET as $_ind => $_val) {
                           $_GET[$_ind] = htmlspecialchars(stripslashes($_val));
   
                           $exp = explode(" ",$_GET[$_ind]);
                           foreach($exp as $ind => $val) {
                                   if(in_array($val,$this->deny_words)) $this->antihack("Послушайте, мои маленькие кул хацкеры... Несанкционированный доступ в БД карается лишением свободы на срок от 3-х до 5-ти лет. <br> Ваш ip адресс помечен. Вам ведь не нужны проблемы, правда?. ");
                           }
           }
   
           foreach($_POST as $_ind => $_val) {
                           $_POST[$_ind] = htmlspecialchars(stripslashes($_val));
   
                           $exp = explode(" ",$_POST[$_ind]);
                           foreach($exp as $ind => $val) {
                                   if(in_array($val,$this->deny_words)) $this->antihack("Послушайте, мои маленькие кул хацкеры... Несанкционированный доступ в БД карается лишением свободы на срок от 3-х до 5-ти лет. <br> Ваш ip адресс помечен. Вам ведь не нужны проблемы, правда?.");
                           }
           }
   
   }
   
   function antihack($msg) {
       echo "<font color='red'><b>Antihack error: </b></font>$msg<br>\n";
       die;
   }
   
   }
   
   
   
   ?>

   Защита от SQL инъекций.

   Запостил: Vasiliy, 09 Апреля 2012

   Tweet

   Комментарии (10) RSS

   • Lure Of Chaos 09.04.2012 15:48 # +1

     > htmlspecialchars(stripslashes(
     что? он сказал stripslashes?? хацкеры довольно потирают ручки
     
     да и для htmlspecialchars рановато: $_GET и $_POST будут попорчены, а в беззащитный echo злобный хтмл может попасть другими способами.
     
     я уж молчу про глобальный $_ind, нигде не инициализированный, и вообще про глобалсы

     Ответить

   • Vasiliy 09.04.2012 15:53 # +5

     > Ваш ip адресс помечен. Вам ведь не нужны проблемы, правда?
     Меня лично это просто убило.

     Ответить

     • Lure Of Chaos 09.04.2012 16:00 # +1

       потому что адресс с двумя сс? дык проверочное слово "адрессовать" )

       Ответить

       • Vasiliy 09.04.2012 16:33 # 0

         нет сама стилистика текста. И тут пытаются угрожать подумалось мне.

         Ответить

         • Steve_Brown 12.04.2012 12:23 # 0

           Кстати, от некоторых категорий такая защита может быть даже эффективнее всяких htmlspecialchars...

           Ответить

   • nethak 09.04.2012 18:35 # +1

     Отличная ловля на пуганного.

     Ответить

   • eth0 09.04.2012 19:26 # +1

     Что-то не вижу приведения к одному регистру. MySql - скотина бездушная, ему и uNiOn покатит. А в качестве комментария можно использовать и --.

     Ответить

     • alex322 10.04.2012 00:08 # 0

       Автор видать забыл перечислить такие варианты в $deny_words для каждого слова

       Ответить

       • guest 02.10.2012 06:50 # 0

         ждите в следующей версии (ц)

         Ответить

   • guest8 09.04.2019 13:03 # −999

     показать все, что скрытоvanished

     Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только в понедельник, среду, четверг или воскресение

   Семь раз отмерь — один отрежь, guest!

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *