Я был нанят кем-то, чтобы сделать небольшую работу на сайте. Это сайт для большой компании. Он содержит очень конфиденциальные данные, поэтому безопасность очень важна. Проанализировав код, я заметил, что он заполнен дырами в безопасности - читай, много PHP-файлов, бросающих пользовательский ввод get / post непосредственно в запросы mysql и системные команды.
Проблема в том, что создатель сайта для него - программист с семьей и детьми, которые зависят от этой работы. Я не могу просто сказать: «Ваш сайт представляет собой сценарий детского парка развлечений. Позвольте мне переделать его для вас, и у вас все будет хорошо».
Что бы вы сделали в этой ситуации?
Обновить:
Я последовал несколько полезных советов и вежливо сообщил разработчику, что обнаружил некоторые возможные недостатки безопасности на сайте. Я указал на строку и сказал, что там может быть возможная уязвимость для атак с использованием SQL-инъекций, и спросил, знает ли он об этом. Он ответил: «Конечно, но я думаю, что для его использования у злоумышленника должна быть информация о структуре базы данных; я должен лучше понять» .
Обновление 2:
Я сказал, что это не всегда так, и предложил ему перейти по этой ссылке на вопрос переполнения стека, чтобы правильно с ней справиться: как предотвратить SQL-инъекцию в PHP? Он сказал, что изучит это, и поблагодарил меня за то, что я сказал ему раньше. Полагаю, моя часть готова, спасибо, ребята.