Você está contratado para consertar um pequeno bug em um site que consome muita segurança. Olhando para o código, ele está cheio de falhas de segurança. O que você faz? [fechadas]

109

Eu fui contratado por alguém para fazer um pequeno trabalho em um site. É um site para uma grande empresa. Ele contém dados muito confidenciais, então a segurança é muito importante. Ao analisar o código, notei que ele é preenchido com falhas de segurança - leia, muitos arquivos PHP lançando user get / post input diretamente em solicitações mysql e comandos do sistema.

O problema é que a pessoa que fez o site para ele é um programador com família e filhos que dependem desse trabalho. Não posso simplesmente dizer: "o seu site é um parque de diversões infantil. Deixe-me refazer para você e você ficará bem".

O que você faria nessa situação?

Atualização:

Segui alguns bons conselhos aqui e educadamente informei ao desenvolvedor que encontrei algumas possíveis falhas de segurança no site. Eu apontei a linha e disse que poderia haver uma vulnerabilidade possível para ataques de injeção de SQL lá, e perguntei se ele sabia disso. Ele respondeu: "claro, mas acho que para explorá-lo o atacante deve ter informações sobre a estrutura do banco de dados; eu tenho que entender melhor" .

Atualização 2:

Eu disse que nem sempre é o caso e sugeri que ele seguisse este link de pergunta do Stack Overflow para lidar com isso corretamente: Como evitar a injeção de SQL em PHP? Ele disse que iria estudá-lo e me agradeceu por dizer a ele antes. Eu acho que minha parte está feita, obrigado rapazes.

    
por MaiaVictor 04.03.2013 / 20:26
fonte

0 respostas