Bir sitede küçük işler yapmak için birileri tarafından işe alındım. Büyük bir şirket için bir site. Çok hassas veriler içeriyor, bu yüzden güvenlik çok önemli. Kodu analiz ettikten sonra, güvenlik delikleriyle dolu olduğunu fark ettim - okudum, bir çok PHP dosyasını doğrudan / mysql isteklerine ve sistem komutlarına girdi / yazarak girdi.
Sorun şu ki, siteyi kendisi için yapan kişi, bu işe bağımlı olan aile ve çocukları olan bir programcıdır. Ben sadece söyleyemem: "siteniz bir senaryo kiddie eğlence parkı. Sizin için tekrar yapmama izin verin ve iyi olacaksınız."
Bu durumda ne yapardın?
Güncelleme:
Burada bazı iyi tavsiyelere uydum ve geliştiriciye sitedeki bazı olası güvenlik kusurlarını bulduğumu kibarca söyledim. Çizgiyi belirttim ve orada SQL enjeksiyon saldırıları için olası bir güvenlik açığı olabileceğini söyledim ve bunu biliyor mu diye sordum. O, “Elbette, ama bundan yararlanmak için saldırganın veritabanının yapısı hakkında bilgi sahibi olması gerektiğini; daha iyi anlamam gerektiğini” söyledi .
Güncelleme 2:
Her zaman böyle olmadığını söyledim ve doğru şekilde başa çıkmak için bu Yığın Taşması soru bağlantısını izlemesini önerdim: PHP'de SQL enjeksiyonunu nasıl önleyebilirim? Çalışacağını söyledi ve daha önce söylediğim için teşekkür etti. Sanırım benim işim bitti, teşekkürler beyler.