Это не WTF, это обыкновенный нубский говнокод, благо чудесный язык подобные конструкции поощряет. ---
Кстати: потом кто-то сделает автору замечание, и ему придется менять "Мужщина" на "Мужчина" во всех ста сорока семи формочках которые сабмитятся в этот .php файл, я уверен!
Позволяет, но не поощряет. Не в каждом языке параметры, переданные постом вываливаются в глобальный ассоциативный массив _POST, а во многих языках вообще принято использовать разные фреймворки где параметр приходит ввиде енума а текст на форме не имеет к нему никакого отношения и вообще берется из файла локализации, какого-нибудь ru_locale. В PHP тоже есть фреймворки, но увы.
>>эскейпил инпут, А еще все другие языки поощряют prepared statements которые убирают SQL Injection на концептуальном уровне. В PHP тоже есть PDO, но почему-то никто и никогда. И это не говоря о том, что во многих популярных языках практически стандартом де-факто является использование фреймворка с ORM.
1. Извиняюсь насчет "поощрает". Это действительно так :( 2. В PHP уже давно (с версии 5.4) mysql_query deprecated и PDO везде и повсюду (в нормальных проектах). Это я к чему: неважно, что за язык и какие технологии, все упирается в конкретно взятого исполнителя.
Comments 8
Reply
Reply
---
Кстати: потом кто-то сделает автору замечание, и ему придется менять "Мужщина" на "Мужчина" во всех ста сорока семи формочках которые сабмитятся в этот .php файл, я уверен!
Reply
Я не знаю, что двигало в принципе им (автором).
Форму, кстати, не видел.
Я проводил аудит безопасности знакомым, которым какой-то фрилансер сайт наговнокодил. В каждом скрипте были запросы типа
mysql_query ("SELECT * FROM users WHERE id=".$_POST['user_id']);
В общем, я массовым поиском им эскейпил инпут, а эта хрень до кучи на глаза попалась, скрасила мой скучный вечер.
Reply
>>эскейпил инпут,
А еще все другие языки поощряют prepared statements которые убирают SQL Injection на концептуальном уровне. В PHP тоже есть PDO, но почему-то никто и никогда. И это не говоря о том, что во многих популярных языках практически стандартом де-факто является использование фреймворка с ORM.
Reply
2. В PHP уже давно (с версии 5.4) mysql_query deprecated и PDO везде и повсюду (в нормальных проектах). Это я к чему: неважно, что за язык и какие технологии, все упирается в конкретно взятого исполнителя.
Reply
Reply
Reply
Leave a comment