看板 Soft_Job作者 jeff87218 (JSMJ)標題 新手剛入職就發現有SQL injection漏洞 該回報嗎時間 Wed May 3 00:45:43 2023
先簡單自我介紹一下 小弟自學+上課 學了一段時間的Java(大約三年) 偶爾也會上github對
開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到
最近才有找軟體方面的工作
目前剛錄取一份接案公司的工作 主要語言是php
今天整天幾乎都在看code
但是跟github上開源的code比起來真的是又髒又亂
變數命名沒照規則 而且還用老舊的php5 例如2023年的案子裡面還有deprecated的meth
od
更別說程式碼感覺都是貼來貼去的 拿以前的來貼改
檔案名稱 資料夾名稱也是都奇奇怪怪 整個專案裡面一大堆無關的code
看code看到後面越來越不對勁 一個簡單的or 1=1就看出來根本沒防sql注入
下班後用某工具對公司的一個案子試了一下 直接把所有db跟table還有資料直接撈出來
重點是全部案子 包括公司的一些資訊都在同一個server上可以直接撈
請問我該回報嗎 回報了不知道會不會被黑…(雖然我手上還有另一份offer
第一次在本版po文請見諒
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.18.174 (臺灣)
※ 作者: jeff87218 2023-05-03 00:45:43
※ 文章代碼(AID): #1aKJuvtu (Soft_Job)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683045945.A.DF8.html
※ 同主題文章:
新手剛入職就發現有SQL injection漏洞 該回報嗎
05-03 00:45 jeff87218
※ 編輯: jeff87218 (114.27.18.174 臺灣), 05/03/2023 00:48:30
→ t64141: 如果另一個 offer 能接受不如就直接閃人吧1F 05/03 00:51
推 lee457088: 回報為啥會被黑,語氣正常的話應該大家都很願意學習吧2F 05/03 00:53
推 Mutibil: 好典型新手的想法 開源 追求code完美簡潔blablabla5F 05/03 01:09
→ Mutibil: 都是接案公司了 當deadline逼近 誰還管樣樣都完美啊7F 05/03 01:10
→ Mutibil: 能趕快交付 拿到錢比較重要 你該了解當初這樣做的事由9F 05/03 01:11
噓 brucetu: 趕快換一家有點水準的公司11F 05/03 01:43
→ superpandal: 最好用pdo傳參 php官方文檔很好 寫php最愜意的就是邊看文檔寫一寫發現這樣就寫好了
文檔也有包 當然亂寫的肯定不會這樣做
簡潔與安全和擴充性不是衝突的 我寫的是這樣 XD
所以都不想用框架 什麼高並發原生其實也都可以
解決 php本身就是對c語言的封裝 會寫了對了解c有幫助其它的語言都是研究個老半天 然後例如在jdk裡有些細節 而且更新php版本你應該考慮 如果你是oop狂人12F 05/03 02:37
推 Nonsense8: 這種等級的技術債還是快逃吧,有礙成長,除非錢多真香…
追求乾淨的程式跟新手老手沒關係,支持原po保持初衷,但也要考量各種外力影響,避免成為武痴
至於要不要回報…很大程度取決於你們公司風氣,建議你多觀察和試探前輩跟同事的反應20F 05/03 03:05
→ Nonsense8: 有可能大家都心裡有數但就是嫌麻煩而已。嗯不是每個人都覺得進步是好事…27F 05/03 03:19
→ superpandal: 用vi/vim重構 不行就閃
現在php xdebug斷點追縱也很方便29F 05/03 03:21
噓 CoNsTaR: 某 Mutibil 這完全不是追求完美的問題吧
事情亂做也可以被你美化成"當初這樣做的事由"到底有沒有底線啊
你這樣亂搞用的理由是"能趕快交付",我就問到底是亂搞還是把事情做對能比較快交出能用的東西?
當然如果你的程度就是只能亂搞,沒日沒夜的亂搞花一堆不必要的時間繞不必要的圈圈解不必要的 bug 最後總算生出一個勉強能用的東西你大概會很自豪自己在 deadline 前生出東西吧
然後再信心爆棚來嘴其他人是追求完美?32F 05/03 04:41
推 killerufo: 原po新手不要聽5樓在哪邊亂講
該做的事情沒做好,deadline只是能力不足的藉口罷了42F 05/03 06:59
→ DrTech: 如果是我,會多想:怎麼修,誰修,如果自己修有什麼後果?對自己與公司有幫助嗎?職場報漏洞抓別人毛病真的很簡單,有沒有價值比較重要。44F 05/03 07:17
推 loadingN: web仔日常 bug就是留給發現的你來修47F 05/03 07:18
推 jobintan: 臺灣接案公司別肖想code品質有多好,要追求品質就不該繼續待了,趕緊跳去別家正常些的公司吧。48F 05/03 07:54
推 mathrew: 回報前,先確認自己有沒有解法,又不會造成影響50F 05/03 07:54
噓 tgyhuj01: 沒有deadline問題的是過太爽還是運氣太好沒遇過 不要用做自家產品的思維去看接案好嗎51F 05/03 07:54
→ mathrew: 有的話,就回報然後一併提供上去53F 05/03 07:54
推 diousk: 推DrTech, 先思考做這件事如何讓它有價值54F 05/03 08:13
→ layer0930: 快逃
寫php對 c沒幫助,你又不是自己寫擴展,沒意義。55F 05/03 08:43
推 sniper2824: deadline跟你為了快速亂寫有什麼交集嗎? 有點水準的話根本不會那樣寫啊
就算為了快 也不會那樣寫 難道你都hardcode嗎 為了趕快交出去58F 05/03 08:53
→ foreverk: 當deadline突然浮動到剩下1%時間,的確會有交集,我覺得接案或產品都可能出現這種情況啦,線上都爆炸了,先hardcode止血再說,問題在於事後有沒有去檢討調整,有時候調整期也不是一兩天的規劃,如果要幾周甚至一個月,過程中來了個新人看到就會認為這什麼糞code,有時候糞code是有他的前因後果62F 05/03 09:03
→ teddy: 既然發現漏洞那就交給你處理了:) 你說原本的專案進度 當然照舊阿 能者多勞 公司不會虧待你 年底我試著幫你跟上面談談68F 05/03 09:06
→ leolarrel: Mutibil的想法我這種寫code新手完全無法接受70F 05/03 09:14
→ umum29: 這種基本的漏洞會存在這麼久 勸你快逃ㄚㄚ71F 05/03 09:17
→ tgyhuj01: 這種漏洞有在接案做過的應該都見怪不怪了
沒有才值得驚訝
理想不存在現實裡 不然就像上面說的能者多勞 多做點72F 05/03 09:22
→ ssccg: hardcode和injection是兩回事吧,injection完全是習慣不好hardcode頂多是要改時麻煩點,一種技術債。SQL injection是不滿足最基本的資安規格,而且常見的直接組字串不用參數化的寫法寫起來就沒有比較快啊
這種通常都是從來沒學過正確寫法的半路出家碼農寫的,不要用什麼時程壓力去幫基本功不及格的人開脫75F 05/03 09:49
推 nelley: 可以把所有db都dump出來這說不定早被其他人dump過了。現在你回報了公司才發現出歹事了說不定還變成頭號嫌疑犯。我想這才是原po最擔心的事。。。81F 05/03 10:06
→ foreverk: 我針對hardcode,說實在補習班也會教injection,還這樣寫單純就,程度差84F 05/03 10:17
→ acgotaku: 現在還有 sql injection 這種古老到不行的漏洞?!86F 05/03 10:20
→ ku399999: 回報啊 要改?沒問題 請給時間 不改?那就不是我的問題88F 05/03 10:23
→ knives: 只能說這些都是技術債,現在新的框架用ORM早就沒那問題了89F 05/03 10:37
→ tgyhuj01: 別懷疑 多到不行 常接案的人就懂90F 05/03 10:59
推 expury: 自學可以到開源專案發 PR 、還能隨便抓出公司專案漏洞
感覺原 po 是有天份的
快換家像樣點的公司吧91F 05/03 11:05
推 typeking: 一個人是救不了一間公司的,大家都爛你是想要改善什麼?94F 05/03 11:45
推 TAKADO: 還是要回報,然後看看公司的處理方法,就可以決定是不是該逃了。96F 05/03 11:54
推 gs8613789: 不要聽五樓在亂講,正常公司根本不會犯這麼基礎的錯誤98F 05/03 12:00
推 kurtsgm: 接案公司沒人在管維護性的 你是要clean code還是要money99F 05/03 12:03
推 fanatics5566: 覺得公司其他人都知道,只是沒人要去理而已。如果原PO很在意程式碼品質的話建議換家公司。197F 05/04 12:49
推 vi000246: 幹嘛回報 回報了還要修 快逃啊
身為軟體人還是要有基本的職業道德 deadline不是藉口199F 05/04 13:41
推 bxc: who car 直接快逃才是重點201F 05/04 14:39
--