1. JavaScript / Говнокод #19856

    +7

    1. 1
    2. 2
    3. 3
    4. 4
    function checkPermission(user, post) {
  return equals(post.author, user) ||
         user.role = 'admin';
}

    when you see it, you'll shit bricks

    Запостил: thepotato, 21 Апреля 2016

    Комментарии (17) RSS

    • ava Dummy00001 21.04.2016 16:22 # 0

      вопрос в догонку: это клиент- или сервер-сайд? потому что если клиент-сайд...
      Ответить

      • ava defecate-plusplus 21.04.2016 16:26 # +4

        то что?
        может по этому role потом клиент принимает решение показывать или нет тыцки "редактировать", "удалить" и т.д.?

        всё равно по ним должен уйти post на бек, который есесно сам проверит разрешения на эти операции, и даст по рукам 403
        Ответить

        • ava Dummy00001 21.04.2016 16:34 # +5

          > который есесно сам проверит разрешения

          а вдруг они все сделали правильно и у них код реюзается?)
          Ответить

          • ava defecate-plusplus 21.04.2016 16:54 # 0

            я не силён в js и не вижу подвоха, поясни

            если говорить конкретно про указанные 3 строчки и закрывающую скобку, то я вижу другие проблемы - должны быть права доступа (а-ля "read", "edit", "delete" и т.д.), а не bool результат, роль это лишь мета сущность аггрегации прав
            Ответить

            • ava Dummy00001 21.04.2016 16:58 # +1

              ты пропустил строку 3? где пользователям раздаётся роль админа? или я не понял твоего вопроса?
              Ответить

              • ava defecate-plusplus 21.04.2016 17:00 # 0

                ах вот оно чо
                найдите синтаксическую ошибку называется, я то думал
                а какой приоритет операций в js?
                Ответить

                • ava Dummy00001 21.04.2016 17:04 # 0

                  '&&' стоит выше чем '='

                  https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Operators/Operator_Precedence

                  ты типа намекаешь что должно быть синтаксической ошибкой?

                  я тоже по современному JS не спец.
                  Ответить

                • ava zizzleZee 21.04.2016 17:19 # 0

                  при чем тут приоритет, приоритет чего перед чем ? Тут один логич. оператор, или. 0\1 || 0\1.

                  Фишка в другом, если это фронтед и без проверки на бекенде - любой школьник присвоит user.role = 'админ'.

                  Ну и что за вотзефак equals
                  Ответить

                  • ava bakagaijin 21.04.2016 17:22 # 0

                    Эцсамое. Скорее всего действительно тут просто проверяется, показывать ли админские экшны; однозначно должна быть проверка на бэкенде. equals - может сравнивать юзеров по id, например (или сравнивать оба объекта по полям, это было бы говном). В общем, трудноуловимый запашок имеется, но вот так чтобы говно - так нет.
                    Ответить

                  • ava defecate-plusplus 21.04.2016 17:26 # +6

                    > приоритет чего перед чем
                    >> ты пропустил строку 3? где пользователям раздаётся роль админа?
                    = вместо ==

                    про любой школьник я уже написал в самом верхнем посте
                    клиент может дрочить всё что угодно, у него есть f12 и анонимные прокси
                    хоть вообще через фиддлер ресты вызывать руками, на беке ты обязан проверять всё
                    хуярить верификацию прав на клиенте может себе позволить только kerman
                    Ответить

                    • ava zizzleZee 21.04.2016 17:29 # +1

                      точно, монсиньор, пепел на мою детскую лысину второклассника. ==

                      шта за kerman ?

                      алсо, условие вывалится с ексепшеном.
                      Ответить

                    • ava Vasiliy 21.04.2016 17:32 # 0

                      а причем тут kerman?
                      Ответить

                    • ava kerman 21.04.2016 18:52 # 0

                      Бгг, а причём тут kerman? )

                      BTW, проверка прав на клиенте - это один из основных недостатков всех двузвенных решений. Такое получается по причине наличия бизнес-логики в тушке толстого клиента и неотделимости проверки прав от логики.
                      Ответить

        • ava Lokich 21.04.2016 17:40 # 0

          мне кажется, что для начала можно было бы тупо не рендерить кнопки для редактирования...
          Ответить

          • ava defecate-plusplus 21.04.2016 17:56 # 0

            ну вообще я и подразумевал, что функция даёт ответ - рендерить или нет
            Ответить

          • ava Dummy00001 21.04.2016 19:15 # 0

            сервер-сайд нынче не модно. модно подключить жабоскриптный темплейт энжин и на клиенте данные препроцесить.
            Ответить

    • ava guest 22.04.2016 17:33 # −2

      JavaScript Не нужен
      Ответить

    Добавить комментарий