[alg] Slechtste programmeervoorbeelden deel 4

Verwijderd schreef op donderdag 05 augustus 2010 @ 15:00:
Om nog maar even door te gaan op mac-adressen

Er zijn nog steeds mensen die vertrouwen op het mac-adres voor beveiliging. Ik was laatst op een camping waar een wifi-spot zat(dit was geïnstalleerd) door een bedrijf. Hier kon je een abbo kopen voor een week(username, ww). Maar wanneer die eenmaal waren ingevoerd sloeg de server het mac-adres op en kon je zo internetten, alleen niet met 2 pc's. Even een mac-spoof en je kunt op twee pc's internetten, altijd leuk

.oisyn schreef op donderdag 05 augustus 2010 @ 15:27:
[...]

En als je verbond met het netwerk en wilde browsen kwam je zeker op een landing page waar je je naam + wachtwoord in moet vullen? Met andere woorden, vaak compleet onbeveiligd dus je kunt ook wel de MAC adressen van je mede-kampeerders uit de lucht trekken

Verwijderd schreef op donderdag 05 augustus 2010 @ 15:00:
Om nog maar even door te gaan op mac-adressen

Er zijn nog steeds mensen die vertrouwen op het mac-adres voor beveiliging. Ik was laatst op een camping waar een wifi-spot zat(dit was geïnstalleerd) door een bedrijf. Hier kon je een abbo kopen voor een week(username, ww). Maar wanneer die eenmaal waren ingevoerd sloeg de server het mac-adres op en kon je zo internetten, alleen niet met 2 pc's. Even een mac-spoof en je kunt op twee pc's internetten, altijd leuk

[ Voor 81% gewijzigd door bobo1on1 op 05-08-2010 15:36 ]

Verwijderd schreef op donderdag 05 augustus 2010 @ 15:00:
Om nog maar even door te gaan op mac-adressen

Er zijn nog steeds mensen die vertrouwen op het mac-adres voor beveiliging. Ik was laatst op een camping waar een wifi-spot zat(dit was geïnstalleerd) door een bedrijf. Hier kon je een abbo kopen voor een week(username, ww). Maar wanneer die eenmaal waren ingevoerd sloeg de server het mac-adres op en kon je zo internetten, alleen niet met 2 pc's. Even een mac-spoof en je kunt op twee pc's internetten, altijd leuk

Verwijderd schreef op donderdag 05 augustus 2010 @ 19:24:
Ik zal maar ontopic gaan dan.

Ik heb een tijdje gewerkt bij een klein bedrijfje. Hier hadden we een 'lead developer', hiervan mag je normaliter verwachten dat hij z'n zaakjes op orde heeft en zulke dingen echt níet doet:

PHP:

1	$pdo->query('SELECT id, something FROM aTable WHERE foo = "'.$_GET['bar'].'";');

Maar volgens hem was het geen SQL-injectie, omdat er PDO gebruikt werd. Ook na een simpele demonstratie was hij er stellig van overtuigd dat het geen SQL-injectie is.

1

TRUNCATE TABLE aTable;

TheCoolGamer schreef op donderdag 05 augustus 2010 @ 21:37:
Misschien had hij Magic Quotes aanstaan.

Oh, nee dan was je demo niet gelukt

NederB schreef op vrijdag 06 augustus 2010 @ 00:20:
Mooi voor beveiligde pagina's

JavaScript:

1 2 3 4 5 6 7 8 9 10 11 12

<script language="JavaScript" type="text/javascript"> var password = prompt("Uw wachtwoord a.u.b.:",""); switch(password){ case"wachtwoord" : window.location="javascript:correct()" break ; default : window.location="javascript:error()" break ; } </script>

ruyckske schreef op vrijdag 06 augustus 2010 @ 09:21:
Ik ken 0 JavaScript, maar wat is daar precies verkeerd aan?

kwaakvaak_v2 schreef op vrijdag 06 augustus 2010 @ 09:25:
[...]


wel... het wachtwoord is dus ehh wachtwoord

Zie die case"wachtwoord"

[ Voor 57% gewijzigd door Voutloos op 06-08-2010 09:27 ]

ruyckske schreef op vrijdag 06 augustus 2010 @ 09:21:
Ik ken 0 JavaScript, maar wat is daar precies verkeerd aan?

offtopic:
Damn, 3 binnen één minuut...

[ Voor 8% gewijzigd door Reptile209 op 06-08-2010 09:26 ]

kwaakvaak_v2 schreef op vrijdag 06 augustus 2010 @ 09:25:
[...]


wel... het wachtwoord is dus ehh wachtwoord

Zie die case"wachtwoord"

rmpel schreef op vrijdag 06 augustus 2010 @ 09:30:
Hier probeerde een van mijn voorgangers de laatste regel in een log op te halen;

PHP:

30 31 32 33 34 35 36 37

$result = mysql_query("SELECT * FROM log ORDER BY autonr DESC"); $first_row = true; while ($row = mysql_fetch_array($result)) { if ($first_row) { $last_line = $row; } $first_row = false; }

En dan klagen dat het met ruim 5 miljoen regels in de log de pagina zo langzaam is

roy-t schreef op vrijdag 06 augustus 2010 @ 09:44:
Dat snap ik dan niet als je "SELECT * FROM log ORDER BY autonr DESC" kunt bedenken, dan kun je toch ook wel bedenken er Limit 1 achter te zetten?

[ Voor 102% gewijzigd door Dracoo op 06-08-2010 10:02 ]

.oisyn schreef op vrijdag 06 augustus 2010 @ 00:25:
En ook javascript functies aanroepen door window.location in te stellen

rmpel schreef op vrijdag 06 augustus 2010 @ 09:30:
Hier probeerde een van mijn voorgangers de laatste regel in een log op te halen;

PHP:

30 31 32 33 34 35 36 37

$result = mysql_query("SELECT * FROM log ORDER BY autonr DESC"); $first_row = true; while ($row = mysql_fetch_array($result)) { if ($first_row) { $last_line = $row; } $first_row = false; }

En dan klagen dat het met ruim 5 miljoen regels in de log de pagina zo langzaam is

1
2

$result = mysql_query("SELECT * FROM log ORDER BY autonr DESC");
$row = mysql_fetch_array($result));

1

$row = mysql_query("SELECT * FROM log ORDER BY autonr DESC LIMIT 0,1");

[ Voor 7% gewijzigd door Lulukai op 06-08-2010 10:08 . Reden: syntax fixed ]

[ Voor 20% gewijzigd door TJHeuvel op 06-08-2010 10:07 ]

Davio schreef op vrijdag 06 augustus 2010 @ 09:14:
Hihi, zoiets kom je in lvl 3 van 'Trytohack' al tegen ofzo.

Dit script is redelijk veilig. Dat komt omdat de bezoeker niet bij de broncode kan om te zien wat het wachtwoord is.

1
2

$result = mysql_query("SELECT * FROM log ORDER BY autonr DESC LIMIT 1");
$row = mysql_fetch_assoc($result);

PHP:

1	$row = mysql_query("SELECT * FROM log ORDER BY autonr DESC LIMIT 0,1");

Neem ik aan?

1

$row = mysql_fetch_assoc(mysql_query("SELECT * FROM log ORDER BY autonr DESC LIMIT 0,1"));

[ Voor 0% gewijzigd door rmpel op 06-08-2010 11:28 . Reden: typo ]

Verwijderd schreef op vrijdag 06 augustus 2010 @ 11:20:
[...]

..of bij een van de vele 'my-first-website' handleidingen op internet: http://www.html-site.nl/wachtwoord1.php

Met uiteraard het legendarische citaat:

[...]

[ Voor 56% gewijzigd door .oisyn op 06-08-2010 11:28 ]

.oisyn schreef op vrijdag 06 augustus 2010 @ 11:28:
[...]


Oh maar dat is simpel, gewoon een right-click handler maken zodat je niet rightclick -> view source kunt doen

CyCloneNL schreef op vrijdag 06 augustus 2010 @ 10:06:
en SELECT * meestal langzamer dan individueel de velden aangeven.

CyCloneNL schreef op vrijdag 06 augustus 2010 @ 10:06:
en SELECT * meestal langzamer dan individueel de velden aangeven.

Bewijs graag. Of iig waarom jij denkt dat het sneller is.

[ Voor 11% gewijzigd door orf op 06-08-2010 11:46 ]

.oisyn schreef op vrijdag 06 augustus 2010 @ 11:42:
[...]

Bewijs graag. Of iig waarom jij denkt dat het sneller is.

orf schreef op vrijdag 06 augustus 2010 @ 11:45:
[...]

Er wordt toch aangegeven dat de mysql server over een traag lijntje benaderd wordt? Als je dan de hoeveelheid data die over dat lijntje gaat kunt verminderen door een beperkt aantal velden te selecten dan kan dat wel degelijk snelheidswinst opleveren.

CyCloneNL schreef op vrijdag 06 augustus 2010 @ 11:47:
[...]


Ik denk dat het sneller is omdat je dan meer moet nadenken over welke velden je echt gaat gebruiken, in plaats van gewoon maar alles uit de database halen. Door expliciet aan te geven wat je wilt, en ongebruikte velden niet op te vragen kan een performance winst opleveren.

[ Voor 91% gewijzigd door .oisyn op 06-08-2010 11:49 ]

..of bij een van de vele 'my-first-website' handleidingen op internet: http://www.html-site.nl/wachtwoord1.php

1
2
3
4
5
6
7
8
9
10
11

<?php
ob_start();
if($_SERVER['REMOTE_ADDR'] == '127.0.0.1')
{
    header('Location: /beveiligd.php');
}
else
{
    header('Location: http://www.google.nl');
}
?>

.oisyn schreef op vrijdag 06 augustus 2010 @ 11:55:
Ook leuk, je kan dus sowieso altijd gewoon zelf /beveiligd.php ophalen

Verwijderd schreef op vrijdag 06 augustus 2010 @ 11:44:
Ik ben de schrijver van het artikel http://www.html-site.nl/wachtwoord1.php
Ik ben er inmiddels wel achter dat de betreffende beveiliging niet deugd. Dit artikel heb ik al zes jaar geleden geschreven (23 maart 2004), in de dagen dat mijn kennis wat minder groot was. In de tussenliggende tijd heb ik al vele andere artikelen geschreven waarbij het beveiligen met bijvoorbeeld htaccess aan de orde komt.
Ik denk dat het betreffende artikel wel duidelijk aangeeft dat het een systeem is wat de 'gewone gebruiker' zal tegenhouden, meer ook niet.

.oisyn schreef op vrijdag 06 augustus 2010 @ 11:55:
Ook leuk, je kan dus sowieso altijd gewoon zelf /beveiligd.php ophalen

1
2

if (isset($_POST['ww']) && $_POST['ww'] != "test")
header('Location: fout.php');

[ Voor 7% gewijzigd door Verwijderd op 06-08-2010 12:44 ]

.oisyn schreef op vrijdag 06 augustus 2010 @ 12:40:
[...]


of er iig een disclaimer bij zetten dat het absoluut geen beveiliging is?

(ook fetch_assoc ipv fetch_array omdat de laatste dubbele records in het geheugen zet; èn associatief èn genummerd, en enkel associatief is nodig)

1

mysql_fetch_array($result, MYSQL_ASSOC);

[ Voor 9% gewijzigd door Verwijderd op 06-08-2010 13:26 ]

Verwijderd schreef op vrijdag 06 augustus 2010 @ 12:43:
[...]

Sowieso headers (voor beveiliging) gebruiken is slecht. Je ziet dit ook nog vaak:

code:

1 2	if (isset($_POST['ww']) && $_POST['ww'] != "test") header('Location: fout.php');

edit*: even een verduidelijking.

Verwijderd schreef op vrijdag 06 augustus 2010 @ 12:44:
[...]


Zal ik inderdaad eens doen

quote: http://www.html-site.nl/wachtwoord1.php

Dit script is redelijk veilig. Dat komt omdat de bezoeker niet bij de broncode kan om te zien wat het wachtwoord is.

[ Voor 42% gewijzigd door RobIII op 06-08-2010 14:16 ]

Avalaxy schreef op vrijdag 06 augustus 2010 @ 14:05:
[...]


Waarom geen headers?

Verwijderd schreef op vrijdag 06 augustus 2010 @ 14:31:
[...]

Omdat headers niet werken bij bijv putty... Deze kan dan gewoon op de pagina komen. Gebruik je daarentegen nog een die onder de header kan het weer wel

AtleX schreef op vrijdag 06 augustus 2010 @ 14:37:
Zijn laatste zin klopt wel. Het probleem is dat een UA die header kan negeren en dus alsnog de pagina kan zien. Als je onder header() nog die() zet tackel je dat probleem.

Verwijderd schreef op vrijdag 06 augustus 2010 @ 12:43:
[...]

Sowieso headers (voor beveiliging) gebruiken is slecht. Je ziet dit ook nog vaak:

code:

1 2	if (isset($_POST['ww']) && $_POST['ww'] != "test") header('Location: fout.php');

edit*: even een verduidelijking.

1

if (isset($_POST['ww']) && $_POST['ww'] != "test")

Erwines schreef op zaterdag 07 augustus 2010 @ 16:00:
Las net een bericht van iemand die een opmerking plaatste over nederlands opgenomen in sourcode, het zou verboden moeten worden. Vooral designers hebben daar een handje van. Van gemixte functienamen, ziets als:
getBestandsnaam() of zoiets (en echt dit heb ik gezien) daar krijg ik helemaal koude rillingen van.

Mensen die programmeren met nederlandse variabelenamen/functienamen neem ik over het algemeen niet serieus (Dan neem je het vak ook niet serieus). Dat zijn hobbyisten,immers is de taal in het engels dus doe je alles in het engels, logisch is dat.

Erwines schreef op zaterdag 07 augustus 2010 @ 16:00:
Las net een bericht van iemand die een opmerking plaatste over nederlands opgenomen in sourcode, het zou verboden moeten worden. Vooral designers hebben daar een handje van. Van gemixte functienamen, ziets als:
getBestandsnaam() of zoiets (en echt dit heb ik gezien) daar krijg ik helemaal koude rillingen van.

Mensen die programmeren met nederlandse variabelenamen/functienamen neem ik over het algemeen niet serieus (Dan neem je het vak ook niet serieus). Dat zijn hobbyisten,immers is de taal in het engels dus doe je alles in het engels, logisch is dat.

Erwines schreef op zaterdag 07 augustus 2010 @ 16:00:
Las net een bericht van iemand die een opmerking plaatste over nederlands opgenomen in sourcode, het zou verboden moeten worden.

Janoz schreef op donderdag 27 mei 2010 @ 18:33:
[...]
Ik pleit in de projecten waarin ik zit er altijd voor om bij het domein altijd de terminologie over te nemen die de klant zelf ook gebruikt. Is alles in het nederlands, dan is het domein dus ook in het nederlands.
[...]

[ Voor 18% gewijzigd door RayNbow op 07-08-2010 16:23 ]

Erwines schreef op zaterdag 07 augustus 2010 @ 16:00:
Las net een bericht van iemand die een opmerking plaatste over nederlands opgenomen in sourcode, het zou verboden moeten worden. Vooral designers hebben daar een handje van. Van gemixte functienamen, ziets als:
getBestandsnaam() of zoiets (en echt dit heb ik gezien) daar krijg ik helemaal koude rillingen van.

RayNbow schreef op zaterdag 07 augustus 2010 @ 16:22:
(Link naar gehele reactie)

offtopic:
Quotes hebben hier automatisch een link naar de gehele reactie

Verwijderd schreef op zaterdag 07 augustus 2010 @ 16:25:
[...]

offtopic:
Quotes hebben hier automatisch een link naar de gehele reactie

Verwijderd schreef op zaterdag 07 augustus 2010 @ 16:16:
[...]

STOP. De taal syntax is in C#, VB, C++, Java, etc. Het heeft niks met een gesproken taal te maken. Echter heb je wel gelijk dat een functienaam: getBestandsnaam fout is. Doe dan alles in het Nederlands of niets.

Dus:
krijgBestandsnaam();
of
getFileName();

1
2
3
4
5
6
7
8

public function verwijderVolledigeMap($pad) { //public function is engels, moet het nu publieke functie zijn?
   $bestanden = scan_dir($pad); //scan_dir, standaard php functie, dat is toch ook geen lees_map_door
   foreach($bestanden as $bestand) { //foreach, voorelke? as als?
     if(is_file($pad . '/' . $bestand)) { //is_file is_bestand 
        unlink($bestand); //Geen idee wat hier een propere nederlandse vertaling voor zou zijn
     }
   }
}

[ Voor 7% gewijzigd door ZpAz op 07-08-2010 19:02 ]

Matis schreef op zaterdag 07 augustus 2010 @ 19:16:
Ik heb liever correct Nederlands (zeker als commentaar) dan gebrekkig, of zelfs fout Engels.

Zie ook Matis in "[alg] Slechtste programmeervoorbeelden d..."

Naamruimteattributen zijn niet toegestaan bij interfacemethoden.
Een 'super'-instructie kan alleen als het laatste item in een constructorinitialisatielijst worden gebruikt.
Tenminste één vertakkingsdoel is geen geldige instructie in de methode.

[ Voor 8% gewijzigd door Alfredo op 07-08-2010 19:52 ]

Matis schreef op zaterdag 07 augustus 2010 @ 19:16:
Ik heb liever correct Nederlands (zeker als commentaar) dan gebrekkig, of zelfs fout Engels.

Zie ook Matis in "[alg] Slechtste programmeervoorbeelden d..."

Haan schreef op zaterdag 07 augustus 2010 @ 20:53:
Hetzelfde heb je als je in.NET ontwikkelt op een NL besturingssysteem ja, vreselijk irritant.

1

if not nietmenemen then

ZpAz schreef op zaterdag 07 augustus 2010 @ 18:48:
[...]


En dan pak je standaard functies uit de betreffende taal en dan krijg je iets als.

PHP:

1 2 3 4 5 6 7 8

public function verwijderVolledigeMap($pad) { //public function is engels, moet het nu publieke functie zijn? $bestanden = scan_dir($pad); //scan_dir, standaard php functie, dat is toch ook geen lees_map_door foreach($bestanden as $bestand) { //foreach, voorelke? as als? if(is_file($pad . '/' . $bestand)) { //is_file is_bestand unlink($bestand); //Geen idee wat hier een propere nederlandse vertaling voor zou zijn } } }

Nederlandse code is blegh, de hele wereld doet het in het engels, wil je een library van een ander gebruiken is het vaak Engels (ik ken werkelijk geen NL code lib) en als iemand dat van jou wil gebruiken limiteer je het dan ook tot de Nederlands sprekende personen.

@Reacties hierboven, okee misschien heb je dus 'enkele uitzonderingen' maar dingen als 'verwijderVolledigeMap()' oid hoeven van mij echt niet in het Nederlands.

RobIII schreef op vrijdag 06 augustus 2010 @ 14:09:
[...]

Ik zou het eerder offline halen. Je hebt het over "100% waterdicht is dit systeem niet" maar dit artikel mag wmb niet eens refereren aan de term "beveiliging". Het is niet eens 1% waterdicht. Het is zo lek als maar zijn kan. Het is een compleet waardeloze wassen neus welke, at best, een huis-tuin-en-keuken-gebruiker even buiten houdt.

[...]

Het komt niet eens in de buurt van veilig Iedereen (en dan bedoel ik iedereen behalve je oma) kan bij de broncode. Je wekt in het artikel dat het "wel aardig goed zit" en "afdoende" zou zijn. Dat is het geenszins. Offline ermee en vlug a.u.b. voordat iemand het in z'n hoofd haalt hier mee aan de slag te gaan

1
2

var password=window.prompt("Password:","");
document.location='http://members.tripod.com/~mooiesite/'+password+'.html';

Wat nu wanneer je een (nederlandse) opdrachtgever hebt die een feestjes registratie bij wil houden waarbij 1 van de properties een gezelligheidsindex is? Ga je daar dan cosyIndex van maken?

Emn als die code vervolgens in India onderhouden wordt dan maakt het voor die indier eigenlijk ook geen reet meer uit of het nu een property 'cosy' of 'gezeligheid' is. Van beiden begrijpt hij geen reet. Het enige verschil is dat in de communicatie met de klant 'gezelligheid' altijd voorkomt terwijl de indier het pas zal begrijpen wanneer je 'journeyman' in je code had staan.

[ Voor 4% gewijzigd door Caelorum op 08-08-2010 10:06 ]

[ Voor 10% gewijzigd door Janoz op 08-08-2010 10:05 ]

Janoz schreef op zondag 08 augustus 2010 @ 10:05:
http://translate.google.com/#nl|en|gezeligheid

[ Voor 16% gewijzigd door Caelorum op 08-08-2010 10:10 ]

[ Voor 96% gewijzigd door codebeat op 08-08-2010 10:20 ]

Erwines schreef op zondag 08 augustus 2010 @ 02:15:
Haha, grappig dat het wel het een en ander teweeg brengt, is goed. Maarre wat Kenneth zegt ga ik niet eens op in.

[ Voor 60% gewijzigd door codebeat op 08-08-2010 10:41 ]

Erwines schreef op zondag 08 augustus 2010 @ 10:28:
kenneth, ik geef aan waarom ik dat vind hoe dat komt dat ik dat vind. jij draait alleen mijn woorden/uitdrukking/zin alleen maar om. Kan je niks mee en is dus totaal overbodig, dan kan je net zo goed niets zeggen.

[ Voor 17% gewijzigd door Janoz op 08-08-2010 10:41 ]

[ Voor 30% gewijzigd door codebeat op 08-08-2010 10:54 ]

Erwines schreef op zondag 08 augustus 2010 @ 10:05:
Beste BarôZZa, wat je hierboven schrijft kan ik opmerken dat je niet helemaal begrijpt wat het nut is van een return waarde en ook niet helemaal begrijpt wat ik met mijn uitleg bedoelde. Je schrijft: "Een 'return false' vind ik in de veel gevallen nog veel erger dan een die()." Bij een die() breekt je programma af, stopt je programma onheroepelijk en bij een return false niet.

Je schreef ooK: "De die() is prima te gebruiken voor zaken die praktisch nooit voorkomen, maar waarbij je niet wilt dat het script doorloopt." Begrijp de redenering wel maar In het geval van het voorbeeld is dit zeer onwenselijk. Als het gaat om een plugin (bijvoorbeeld de gd lib) kan ik mij wel voorstellen dat je een die() gebruikt wanneer deze niet beschikbaar is omdat deze vereist is voor de functionaliteite die je bouwt.Wanneer je aan het bouwen bent kom je daar snel genoeg achter en dat is het ook het enige moment waarbij deze foutmelding mag voorkomen.

In sommige gevallen hoeft je niet precies te weten wat er is misgegaan omdat de functienaam dat al aangeeft en in sommige gevallen wil je dat wel weten maar return je bijvoorbeeld een foutcode. Weet je precies wat er aan de hand is. Dat kun je bijvoorbeeld doen me vooraf gedefinieerde defines. Daar heb je checks voor nodig waar jij zo'n hekel aan hebt. Het is altijd beter om zelf de fout af te vangen dan dat de interpreter met een fout komt (staat ook veel beter naar de klant of de gebruiker dan alleen maar een wit scherm en een foutmelding). Als de interpreter met een fout komt kan dat betekenen dat onvoldoende aandacht hebt besteed aan het ontwerp en niet nagedacht hebt over de mogelijke fouten. Daarnaast kun je er niets meer aan veranderen wanneer de interpreter met een fout komt. Ziet er heel slordig uit.

Bij een taal als PHP MOET je juist controleren op geldigheid en/of type omdat variabelen geen type hebben, het kan dus (per ongeluk) van alles zijn. Dat het overbodig is of niet hangt helemaal samen met je ontwerp. Teveel checks kunnen in sommige situaties voorkomen en in sommige situaties is het genoeg, dat ligt bevoorbeeld weer aan welke functies je gebruikt of dat je een ekele functie gebruikt. Iets teveel checken is nooit erg, het maakt het alleen maar robuust en is dus berekend op meerdere situaties. Dat geeft aan dat je er over nagedacht hebt en dat de oplossing breder inzetbaar is dan alleen het project waar je op dat moment aan werkt. Dat is vaak het probleem, er wordt vaak maar in 1 richting gedacht, alleen het project. Daardoor krijg je ook opmerkingen zoals van BarôZZa.

Weinig checks of geen checks is een teken van luiheid of onwetendheid. Checks kunnen juist helpen om duidelijkheid te scheppen in wat verwacht wordt zonder dat daar comments voor nodig zijn.