Говнокод: по колено в коде.

• Все
• Лучший
• Сток
• Глупый поиск
• Наговнокодить!
• Oтзывы

Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!

1. PHP (5698)
2. C++ (2733)
3. Куча (2326)
4. JavaScript (2027)
5. C# (1925)
6. Java (1501)
7. Си (1095)
8. Pascal (647)
9. Python (582)
10. 1C (531)
11. SQL (431)
12. ActionScript (292)
13. Objective C (202)
14. bash (197)
15. Perl (194)
16. Assembler (146)
17. Ruby (142)
18. VisualBasic (138)
19. Lua (49)
20. Go (29)
21. Swift (27)
22. Haskell (26)
23. Kotlin (13)

1. PHP / Говнокод #17936

   +158

   1. 01
   2. 02
   3. 03
   4. 04
   5. 05
   6. 06
   7. 07
   8. 08
   9. 09
   10. 10
   11. 11
   12. 12
   13. 13
   14. 14
   15. 15
   16. 16
   17. 17
   18. 18
   19. 19
   20. 20

   $apiid = mysql_real_escape_string(substr($_POST['apiid'], 0, 1024));
   $logine = mysql_real_escape_string(substr($_POST['login'], 0, 1024));
   $koef = mysql_real_escape_string(substr($_POST['koefjet'], 0, 1024));
   $balans = mysql_real_escape_string(substr($_POST['balansjet'], 0, 1024));
   $balansz = mysql_real_escape_string(substr($_POST['balanszjet'], 0, 1024));
   $trafbalans = mysql_real_escape_string(substr($_POST['trafbalansjet'], 0, 1024));
   $krbalans = mysql_real_escape_string(substr($_POST['krbalansjet'], 0, 1024));
   $idget = mysql_real_escape_string(substr($_POST['idjet'], 0, 1024));
   $vuz = mysql_real_escape_string(substr($_POST['v'], 0, 1024));
   $percent = mysql_real_escape_string(substr($_POST['percent'], 0, 1024));
   $maxinv = mysql_real_escape_string(substr($_POST['maxinv'], 0, 1024));
   $r = mysql_real_escape_string(substr($_POST['r'], 0, 1024));
   $fio = mysql_real_escape_string(substr($_POST['fio'], 0, 1024));
   $pass = mysql_real_escape_string(substr($_POST['pass'], 0, 1024));
   $obnom = mysql_real_escape_string(substr($_POST['obnom'], 0, 1024));
   $dkot = mysql_real_escape_string(substr($_POST['dkot'], 0, 1024));
   $email = mysql_real_escape_string(substr($_POST['email'], 0, 1024));
   $ppr = mysql_real_escape_string(substr($_POST['ppr'], 0, 1024));
   $procent = mysql_real_escape_string(substr($_POST['procent'], 0, 1024));
   $unikjet = mysql_real_escape_string(substr($_POST['unikjet'], 0, 1024));

   вот так кто-то получал данные формы

   Запостил: podvzbzdnul, 05 Апреля 2015

   Tweet

   Комментарии (29) RSS

   • gost 05.04.2015 19:37 # +2

     mysql_real_escape_string_cho_ne_verish_c hto_real_da_ya_zub_dau

     Ответить

     • bormand 05.04.2015 23:21 # +3

       mysql_blya_budu_real_escape_string

       Ответить

       • Stallman 05.04.2015 23:38 # +3

         А в результате все равно инъекция.

         Ответить

         • inkanus-gray 06.04.2015 11:31 # +1

           Кстати:
           
           Warning
           
           This extension is deprecated as of PHP 5.5.0, and will be removed in the future. Instead, the MySQLi or PDO_MySQL extension should be used.
           ...
           Alternatives to this function include:
           • mysqli_real_escape_string()
           • PDO::quote()

           Ответить

           • Vasiliy 06.04.2015 11:51 # +1

             Да да да. Сколько об этом говорили писали. Наконец свершилось а не кто не ждал.

             Ответить

             • inkanus-gray 06.04.2015 14:55 # 0

               Сбой при синтаксическом разборе последнего предложения.

               Ответить

               • Vasiliy 06.04.2015 15:41 # 0

                 Про то что уберут mysql_XXX говорили и писали боле 9000 раз. Но не смотря на это полно достаточно больших проектов которые юзают mysql_XXX. И они не готовы переходить не на MySQLi не на PDO_MySQL.
                 Я тут надумываю написать скриптец который все эти mysql_real_escape_string меняет на bindparam

                 Ответить

           • bormand 06.04.2015 12:27 # +1

             > will be removed in the future
             Т.е. никогда?

             Ответить

   • kegdan 05.04.2015 23:30 # 0

     >>1024
     
     1024--, твоих рук дело?!

     Ответить

     • 1024-- 06.04.2015 01:10 # +2

       Где здесь ЭКМАСкрипт, kegdan?!
       В мире пхп я лишь скромный гость. В мире пхп я влияния не имею. Это ирония судьбы.

       Ответить

       • kegdan 06.04.2015 01:34 # 0

         Блин, нужно привязать к каждому юзеру какие языки он умеет, а то путаюсь

         Ответить

         • bormand 06.04.2015 06:15 # 0

           И сертификаты приложить?

           Ответить

           • kegdan 06.04.2015 07:31 # +2

             да нет, под чеснаслова. Какой смысл врать то? Перед кем понтоваться?

             Ответить

       • Stallman 06.04.2015 09:26 # +2

         Ну код в посте вполне мог бы быть валидным ЭКМАСкриптом. Нужно всего лишь объявить недостающие функции и переменные.

         Ответить

   • inkanus-gray 06.04.2015 11:29 # 0

     $_POST = array_map(
         function($value) {
             return mysql_real_escape_string(trim(substr($value, 0, 1024)));
         }, $_POST);
     
     $_GET = array_map(
         function($value) {
             return mysql_real_escape_string(trim(substr($value, 0, 1024)));
         }, $_GET);

     Ответить

     • Stallman 06.04.2015 13:31 # +2

       Тогда уж:
       

       array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
       	$value = mysql_real_escape_string(trim(substr($value, 0, 1024)));
       });

       Ответить

       • ultimate_govnokoder 07.05.2015 16:20 # 0

         extract(array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value) {
         $value = mysql_real_escape_string(trim(substr($va lue, 0, 1024)));
         }));

         Ответить

         • Stallman 07.05.2015 16:48 # 0

           array_walk_recursive($_ = [&$_GET, &$_POST, &$_REQUEST], function (&$value, $key) {
                   global $$key;
                   $$key = $value = mysql_real_escape_string(trim(substr($value, 0, 1024)));
           });
           
           });

           Ответить

           • podvzbzdnul 08.05.2015 04:08 # 0

             да вы наркоманы

             Ответить

           • 3_14dar 08.05.2015 04:39 # 0

             >$$key
             В освенцим.

             Ответить

           • bormand 08.05.2015 11:08 # 0

             magic_quotes = On

             Ответить

             • Stallman 08.05.2015 12:55 # +1

               Вот бы в бидоне запилили python.ini с фичей magic_spaces, при включении которой интерпретатор сам бы расставлял отступы, как ему покажется верным.

               Ответить

               • bormand 08.05.2015 13:41 # 0

                 Вот бы в c++ запилили cpp.ini с фичей magic_code, при включении которой компилятор сам пишет код.

                 Ответить

                 • Horse3 09.05.2015 14:38 # 0

                   Зачем ждать, когда запилят, если сразу можно перейти на язык, в котором интерпретатор сам исполняет код, как ему покажется верным?

                   Ответить

               • 3_14dar 09.05.2015 16:01 # 0

                 Што?

                 Ответить

   • wvxvw 06.04.2015 14:52 # +2

     php_unreal_escape_string()

     Ответить

     • 3_14dar 08.05.2015 04:38 # 0

       fuck_php_play_unreal(graphon=true)

       Ответить

       • Stallman 08.05.2015 11:03 # 0

         Где здесь пхп, пидр?

         Ответить

         • kegdan 08.05.2015 12:59 # 0

           Где здесь пидр, Сто... Все, нашел

           Ответить

   Добавить комментарий

   Ошибка компиляции комментария:

   1. Гости могут высказаться только в понедельник, среду, четверг или воскресение

   Помни, guest, за тобой могут следить!

   А не использовать ли нам bbcode?

   • [b]жирный[/b] — жирный
   • [i]курсив[/i] — курсив
   • [u]подчеркнутый[/u] — подчеркнутый
   • [s]перечеркнутый[/s] — перечеркнутый
   • [blink]мигающий[/blink] — мигающий
   • [color=red]цвет[/color] — цвет (подробнее)
   • [size=20]размер[/size] — размер (подробнее)
   • [code=<language>]some code[/code] (подробнее)

   Проверочный код: *