За что не любят пхпшников

0

1

Открываю сегодня один проект. Перехожу в мастер ветку, делаю гит пулл. И вижу такую картину в одном из файлов:

            $id = 0;
            for(; $id < 1000000; $id++) {
                if($_GET['key'] == md5($id . 'security')) {
                    break;
                }
            }
            if($id) {
                $file = query("select * from files where id='" . $id . "'");
                header("Content-type: " . $file['type']);
                header('Content-Length: ' . $file['size']);
                header('Content-Disposition: attachment; filename="' . $file['name'] . '"');

Для тех кто не понял что тут происходит: получаем значение ключа из гета и в цикле перебираем варианты от 0 до 1 млн, если присланный ключ совпал с хешем, тогда «бряк» :)

Не-не, а дальше то - if($id) т.е. если $id больше нуля, что будет однозначно, т.к. хотябы одна итерация но будет - лезем в базу и отдаем файл.

А цикл - видимо сделана задержка а-ля comet, мол, ты прислал какашку - на тебе мильён итераций в цикле!

Ссылка

←	А кто тут ещё фап^W слушает такую музыку.. )

Веб студия православного храма в Гамбурге

→

← 1 2 →

При этом, замечу, отдаётся файл по найденному в этом цикле $id. То есть это отдача файла по его номеру в закодированном виде, фактически. Только кривая, да. Надо было заранее все хэши в базу положить, и селектить по ним.

om-nom-nimouse ★★
(16.10.14 13:46:10 MSK)

Ответ на: комментарий от om-nom-nimouse 16.10.14 13:46:10 MSK

У меня с этой хрени настроение поднялось.

deep-purple ★★★★★
(16.10.14 13:48:10 MSK) автор топика

Ссылка

делаю гит пулл

Нашёл, чем гордиться. Нормальные люди это скрывают.

~~bluesman~~
(16.10.14 13:48:16 MSK)

Ответ на: комментарий от bluesman 16.10.14 13:48:16 MSK

Гит уже не мейнстрим?

deep-purple ★★★★★
(16.10.14 13:49:10 MSK) автор топика

Ответ на: комментарий от om-nom-nimouse 16.10.14 13:46:10 MSK

Да ладно тебе, о PHP-коде за авторством людей, знающих смысл термина «вычислительная сложность алгоритма» никто и не знает.

За что не любят пхпшников

За изобилие говнокода и соответствующую репутацию же.

t184256 ★★★★★
(16.10.14 13:53:08 MSK)

Ответ на: комментарий от deep-purple 16.10.14 13:49:10 MSK

Да, срочно гордись напоказ чем-нибудь другим.

t184256 ★★★★★
(16.10.14 13:53:42 MSK)

Ответ на: комментарий от deep-purple 16.10.14 13:49:10 MSK

Гит уже не мейнстрим?

Я пользовался гитом, когда это было ещё не модно и молодёжно!

vtVitus ★★★★★
(16.10.14 13:54:05 MSK)

Ответ на: комментарий от t184256 16.10.14 13:53:42 MSK

Альтернативы? Хотя зачем я это спрашиваю. Не я же вешал этот проект на гит.

deep-purple ★★★★★
(16.10.14 13:55:13 MSK) автор топика

Ссылка

А вот постгрес умеет md5 и функциональные индексы.

crowbar ★
(16.10.14 14:05:27 MSK)

Ссылка

есть же всякие govnokod.ru, code_wtf

bl ★★★
(16.10.14 14:30:42 MSK)

Ссылка

Так пишут макаки, а не похапешники.

ritsufag ★★★★★
(16.10.14 14:33:11 MSK)

зато есть куда оптимизировать.

bl ★★★
(16.10.14 14:40:24 MSK)

Ответ на: комментарий от bl 16.10.14 14:40:24 MSK

И правильно. Автор явно твёрдо выучил, что преждевременная оптимизация - зло.

Suntechnic ★★★★★
(16.10.14 14:43:29 MSK)

Ссылка

Зачем ты это сюда притащил? Рукожопы есть везде, от языка это не зависит.

Wolfram ★
(16.10.14 14:45:04 MSK)

Ссылка

здравствуйте ,это сайт про пхп?

Мусье,вы вкладочкой с хаброй не ошиблись?

GNU-Ubuntu1204LTS ★★★
(16.10.14 14:55:07 MSK)

Ссылка

Говнокод можно на любом языке написать. Пхп тут ни при чем.

drull ★☆☆☆
(16.10.14 15:32:14 MSK)

Ответ на: комментарий от t184256 16.10.14 13:53:08 MSK

Да ладно тебе, о PHP-коде за авторством людей, знающих смысл термина «вычислительная сложность алгоритма» никто и не знает.

Их работодатели знают.

drull ★☆☆☆
(16.10.14 15:35:00 MSK)

Ссылка

Да вроде понятно всё. Есть пронумерованные файлы. Клиенту выдается право какой-то из этих файлов скачать. Но чтобы не палить внутреннюю структуру вначале кодируют номер файла, чтобы клиент считал что это ему магическую вундервафлю выдали а не номер. Ну и потом когда клиент пришел с правильным GETом, ему этот файл выгребли из базки и выплюнули.

код ужасный, идея ужасная)

~~stevejobs~~ ★★★★☆
(16.10.14 15:48:05 MSK)

Ссылка

На твоей жопе уши не в ту сторону смотрят.

J ★★★★★
(16.10.14 16:08:17 MSK)

делаю гит пулл

Если делаешь pull, используй git pull --ff-only. Иначе он делает автоматическое слияние веток.

i-rinat ★★★★★
(16.10.14 16:22:34 MSK)

Ссылка

Ответ на: комментарий от drull 16.10.14 15:32:14 MSK

На Питоне напиши то же самое, плиз.

Shadow ★★★★★
(16.10.14 16:46:49 MSK)

Ссылка

Типичный говнокод, как уже высказались, ничего нового.

Почему не любят? Чаще всего относятся брезгливо, естественная реакция цивилизованного человека, из гигиенических соображений. Не любят за то что распространяют заразу, коей является похапе.

outtaspace ★★★
(16.10.14 17:36:00 MSK)

Норм код. Теперь, если ты знаешь где тормоза происходят, сделай оптимизации.

~~gh0stwizard~~ ★★★★★
(16.10.14 17:38:30 MSK)

Ссылка

Ответ на: комментарий от vtVitus 16.10.14 13:54:05 MSK

Я пользовался гитом, когда это было ещё не модно и молодёжно!

Ха. Я перестал пользоваться гитом еще до того, как молодежь о нем узнала.

tailgunner ★★★★★
(16.10.14 17:41:30 MSK)

Ссылка

Ответ на: комментарий от outtaspace 16.10.14 17:36:00 MSK

Типичный говнокод, как уже высказались, ничего нового.

В чем именно говнокод? Я вот вижу, что многие даже не поняли смысл. Цикл делается для реверса md5, аля микро-брутфорс. Другое дело, что ни ТС, ни кто-либо еще не откоментировал, что означает $_GET['key'] и как он проставляется, зачем нужен и т.п. Есть идея, что это своя реализация кукисов, но что-то не похоже :)

~~gh0stwizard~~ ★★★★★
(16.10.14 17:42:09 MSK)

тут разве не sql injection?

~~unt1tled~~ ★★★★
(16.10.14 17:53:05 MSK)

Ответ на: комментарий от unt1tled 16.10.14 17:53:05 MSK

Нет. Тут защита от него.

~~gh0stwizard~~ ★★★★★
(16.10.14 17:54:04 MSK)

Ссылка

Ответ на: комментарий от gh0stwizard 16.10.14 17:42:09 MSK

Да в общем везде.

Константа 1000000, инициализирована переменная $id, сам цикл for не нужен, конкатенации не нужны, select *, сравнение с приведением типов вместо проверки идентичности.

outtaspace ★★★
(16.10.14 18:36:47 MSK)

Ответ на: комментарий от bluesman 16.10.14 13:48:16 MSK

да, это хороший индикатор неосиляторов гита

n_play ☆
(16.10.14 19:14:56 MSK)

Ссылка

Сколько БОЛИ php-шных макак в треде.

Запели свои песни про «говнокод на любом языке». Но пока что говнокод есть только у них.

~~kike~~
(16.10.14 19:21:25 MSK)

Ссылка

Ответ на: комментарий от ritsufag 16.10.14 14:33:11 MSK

Вторые — подмножество первых.

~~kike~~
(16.10.14 19:22:22 MSK)

Ответ на: комментарий от kike 16.10.14 19:22:22 MSK

php - это инструмент. Если ты так возносишь инструмент что клеишь на себя ярлык какого-либо ЯП, то мне тебя жаль.

ritsufag ★★★★★
(16.10.14 19:28:23 MSK)

Ссылка

Скажи, какой твой любимый язык и я покажу говнокод на нём.

derlafff ★★★★★
(16.10.14 19:49:26 MSK)

Ответ на: комментарий от derlafff 16.10.14 19:49:26 MSK

Whitespace. Показывай.

~~redgremlin~~ ★★★★★
(16.10.14 19:57:36 MSK)

Ответ на: комментарий от redgremlin 16.10.14 19:57:36 MSK

#!/usr/bin/env whitespace

derlafff ★★★★★
(16.10.14 19:59:48 MSK)
Последнее исправление: derlafff 16.10.14 19:59:55 MSK (всего исправлений: 1)

Ответ на: комментарий от outtaspace 16.10.14 18:36:47 MSK

Константа 1000000

Так-так, начали с Макконнелла. Однако, это не является критической ошибкой, особенно, если весь код умещается в файле из 25 строк.

инициализирована переменная $id

Конечно, можно запихнуть в цикл. Только это поломает логику, лол.

сам цикл for не нужен

А что нужно?

конкатенации не нужны

Так-так, sprintf() стопудово быстрее и оптимизирован лучше в ЯП, где конкатенации и так оптимизированны.

select *

Вот. Вот это реально полезно оптимизировать. Молодец.

сравнение с приведением типов вместо проверки идентичности

Если я правильно все понимаю в $_GET['anykey'] всегда находятся строки. Они даже не конвертируются при парсинге. Даже если там будет число, то сверка с типом не даст прироста производительности, т.к. выполнение приведения типа не менее затратно чем сравнить два числа (первый символ в строке).

~~gh0stwizard~~ ★★★★★
(16.10.14 20:11:36 MSK)
Последнее исправление: gh0stwizard 16.10.14 20:14:42 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от derlafff 16.10.14 19:59:48 MSK

Код как код. Хаскелисты и то хуже пишут.

~~redgremlin~~ ★★★★★
(16.10.14 20:12:04 MSK)

Ссылка

Ответ на: комментарий от deep-purple 16.10.14 13:49:10 MSK

Ты кормишь зелёного человечка.

Deleted
(16.10.14 20:12:29 MSK)

Ссылка

А какие варианты решения задачи при условии, что клиенту нельзя отдавать номер файла, а базу данных трогать запрещено?

Хеш заменить на симметричный шифр — нормальный вариант?

crowbar ★
(16.10.14 20:16:53 MSK)

Ответ на: комментарий от crowbar 16.10.14 20:16:53 MSK

Все проще. Файлы начинаются с 12345678. Итого $id + 12345678 = id в БД.

~~gh0stwizard~~ ★★★★★
(16.10.14 20:20:15 MSK)

Ссылка

Ответ на: комментарий от outtaspace 16.10.14 18:36:47 MSK

конкатенации не нужны

Всетаки, забыл про bind_columns. Тут, конечно ты прав. Однако, без ~~литра~~тестов точно не сказать, уж очень примитивно все.

~~gh0stwizard~~ ★★★★★
(16.10.14 20:24:35 MSK)

Ссылка

Каждый второй школьник пишет на пыхе.

~~fedorino_gore~~
(16.10.14 20:40:07 MSK)

Ответ на: комментарий от fedorino_gore 16.10.14 20:40:07 MSK

Более того, 9 из 10 наркоманов выбирают пых.

outtaspace ★★★
(16.10.14 21:02:05 MSK)

Ответ на: комментарий от outtaspace 16.10.14 21:02:05 MSK

А в свободное время они еще и на питоне строчят.

~~fedorino_gore~~
(16.10.14 21:30:04 MSK)

Ответ на: комментарий от fedorino_gore 16.10.14 21:30:04 MSK

Путаешь с руби

dvrts ★★★
(16.10.14 23:07:57 MSK)

Ответ на: комментарий от J 16.10.14 16:08:17 MSK

уши не в ту сторону смотрят

Нет, все корректно, уши эти - жопные, и смотрят в правильную сторону.

deep-purple ★★★★★
(16.10.14 23:12:51 MSK) автор топика

Ссылка

Ответ на: комментарий от dvrts 16.10.14 23:07:57 MSK

А вдруг наоборот? Рубисты и питанята по ночам пишут говнокод на пыхе, а днем кричат - пых гмн!

deep-purple ★★★★★
(16.10.14 23:14:37 MSK) автор топика

Ответ на: комментарий от crowbar 16.10.14 20:16:53 MSK

А какие варианты решения задачи при условии, что клиенту нельзя отдавать номер файла, а базу данных трогать запрещено?

Более быстрый, но не менее укуренный вариант - проверять, что $_GET['key'] и в самом деле /^[0-9a-zA-Z]{32}$/, после чего делать select по MD5(CONCAT(id, 'security')) = $_GET['key']

Кстати, эта проверка должна быть в любом случае.

om-nom-nimouse ★★
(16.10.14 23:20:52 MSK)
Последнее исправление: om-nom-nimouse 16.10.14 23:22:03 MSK (всего исправлений: 1)

Ответ на: комментарий от om-nom-nimouse 16.10.14 23:20:52 MSK

Мускульный мд5 не такой как впыховый, не совпадут

deep-purple ★★★★★
(16.10.14 23:23:11 MSK) автор топика

Ответ на: комментарий от om-nom-nimouse 16.10.14 23:20:52 MSK

Это если только при генерации самой ссылки с кеем так же тащить хешсумму айдишника из муцкуля

deep-purple ★★★★★
(16.10.14 23:24:35 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	А кто тут ещё фап^W слушает такую музыку.. )

Talks

Веб студия православного храма в Гамбурге

→

здравствуйте ,это сайт про пхп?

Похожие темы