PTT評價

新手剛入職就發現有SQL injection漏洞 該回報嗎

看板Soft_Job標題新手剛入職就發現有SQL injection漏洞 該回報嗎作者
jeff87218
(JSMJ)
時間推噓40 推:48 噓:8 →:171

先簡單自我介紹一下 小弟自學+上課 學了一段時間的Java(大約三年) 偶爾也會上github對開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到最近才有找軟體方面的工作

目前剛錄取一份接案公司的工作 主要語言是php

今天整天幾乎都在看code
但是跟github上開源的code比起來真的是又髒又亂

變數命名沒照規則 而且還用老舊的php5 例如2023年的案子裡面還有deprecated的meth
od

更別說程式碼感覺都是貼來貼去的 拿以前的來貼改
檔案名稱 資料夾名稱也是都奇奇怪怪 整個專案裡面一大堆無關的code

看code看到後面越來越不對勁 一個簡單的or 1=1就看出來根本沒防sql注入

下班後用某工具對公司的一個案子試了一下 直接把所有db跟table還有資料直接撈出來
重點是全部案子 包括公司的一些資訊都在同一個server上可以直接撈

請問我該回報嗎 回報了不知道會不會被黑…(雖然我手上還有另一份offer

第一次在本版po文請見諒

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.18.174 (臺灣)
PTT 網址

※ 編輯: jeff87218 (114.27.18.174 臺灣), 05/03/2023 00:48:30

t6414105/03 00:51如果另一個 offer 能接受不如就直接閃人吧

lee45708805/03 00:53回報為啥會被黑,語氣正常的話應該大家都很願意學習吧

hippo13005/03 01:07這些改善的工作就交給你了

s06yji305/03 01:09趕快跑啊,還回報?

Mutibil05/03 01:09好典型新手的想法 開源 追求code完美簡潔blablabla

neo527705/03 01:09快逃

Mutibil05/03 01:10都是接案公司了 當deadline逼近 誰還管樣樣都完美啊

chchang082005/03 01:11老闆請你來幹嘛的?有問題不回報,上PTT發問,笑死

Mutibil05/03 01:11能趕快交付 拿到錢比較重要 你該了解當初這樣做的事由

chchang082005/03 01:15先跟你上頭討論吧!怎麼會是先發文跟鄉民討論 笑死

brucetu05/03 01:43趕快換一家有點水準的公司

superpandal05/03 02:37最好用pdo傳參 php官方文檔很好 寫php最愜意的就是

superpandal05/03 02:38邊看文檔寫一寫發現這樣就寫好了

superpandal05/03 02:42文檔也有包 當然亂寫的肯定不會這樣做

superpandal05/03 02:45簡潔與安全和擴充性不是衝突的 我寫的是這樣 XD

superpandal05/03 02:49所以都不想用框架 什麼高並發原生其實也都可以

superpandal05/03 02:50解決 php本身就是對c語言的封裝 會寫了對了解c有幫助

superpandal05/03 03:02其它的語言都是研究個老半天 然後例如在jdk裡有些細

superpandal05/03 03:04節 而且更新php版本你應該考慮 如果你是oop狂人

Nonsense805/03 03:05這種等級的技術債還是快逃吧,有礙成長,除非錢多真香

Nonsense805/03 03:05

Nonsense805/03 03:10追求乾淨的程式跟新手老手沒關係,支持原po保持初衷,

Nonsense805/03 03:10但也要考量各種外力影響,避免成為武痴

Nonsense805/03 03:15至於要不要回報…很大程度取決於你們公司風氣,建議你

Nonsense805/03 03:15多觀察和試探前輩跟同事的反應

superpandal05/03 03:18言歸正傳 回報要重構

Nonsense805/03 03:19有可能大家都心裡有數但就是嫌麻煩而已。嗯不是每個人

Nonsense805/03 03:19都覺得進步是好事…

superpandal05/03 03:21用vi/vim重構 不行就閃

superpandal05/03 03:24現在php xdebug斷點追縱也很方便

pirate1205/03 04:20快跑 這問題根本不該發生

CoNsTaR05/03 04:41某 Mutibil 這完全不是追求完美的問題吧

CoNsTaR05/03 04:41事情亂做也可以被你美化成"當初這樣做的事由"到底有沒有

CoNsTaR05/03 04:41底線啊

CoNsTaR05/03 04:41你這樣亂搞用的理由是"能趕快交付",我就問到底是亂搞還

CoNsTaR05/03 04:41是把事情做對能比較快交出能用的東西?

CoNsTaR05/03 04:41當然如果你的程度就是只能亂搞,沒日沒夜的亂搞花一堆不

CoNsTaR05/03 04:41必要的時間繞不必要的圈圈解不必要的 bug 最後總算生出一

CoNsTaR05/03 04:41個勉強能用的東西你大概會很自豪自己在 deadline 前生出

CoNsTaR05/03 04:41東西吧

CoNsTaR05/03 04:41然後再信心爆棚來嘴其他人是追求完美?

killerufo05/03 06:59原po新手不要聽5樓在哪邊亂講

killerufo05/03 06:59該做的事情沒做好,deadline只是能力不足的藉口罷了

DrTech05/03 07:17如果是我,會多想:怎麼修,誰修,如果自己修有什麼後果?

DrTech05/03 07:17對自己與公司有幫助嗎?職場報漏洞抓別人毛病真的很簡單,

DrTech05/03 07:17有沒有價值比較重要。

loadingN05/03 07:18web仔日常 bug就是留給發現的你來修

jobintan05/03 07:54臺灣接案公司別肖想code品質有多好,要追求品質就不該繼

jobintan05/03 07:54續待了,趕緊跳去別家正常些的公司吧。

mathrew05/03 07:54回報前,先確認自己有沒有解法,又不會造成影響

tgyhuj0105/03 07:54沒有deadline問題的是過太爽還是運氣太好沒遇過 不要用

tgyhuj0105/03 07:54做自家產品的思維去看接案好嗎

mathrew05/03 07:54有的話,就回報然後一併提供上去

diousk05/03 08:13推DrTech, 先思考做這件事如何讓它有價值

layer093005/03 08:43快逃

layer093005/03 08:44寫php對 c沒幫助,你又不是自己寫擴展,沒意義。

knives05/03 08:52快逃

sniper282405/03 08:53deadline跟你為了快速亂寫有什麼交集嗎? 有點水準的

sniper282405/03 08:53話根本不會那樣寫啊

sniper282405/03 08:54就算為了快 也不會那樣寫 難道你都hardcode嗎 為了趕

sniper282405/03 08:54快交出去

foreverk05/03 09:03當deadline突然浮動到剩下1%時間,的確會有交集,我覺

foreverk05/03 09:03得接案或產品都可能出現這種情況啦,線上都爆炸了,先h

foreverk05/03 09:03ardcode止血再說,問題在於事後有沒有去檢討調整,有時

foreverk05/03 09:03候調整期也不是一兩天的規劃,如果要幾周甚至一個月,

foreverk05/03 09:03過程中來了個新人看到就會認為這什麼糞code,有時候糞c

foreverk05/03 09:03ode是有他的前因後果

teddy05/03 09:06既然發現漏洞那就交給你處理了:) 你說原本的專案進度 當然

teddy05/03 09:06照舊阿 能者多勞 公司不會虧待你 年底我試著幫你跟上面談談

leolarrel05/03 09:14Mutibil的想法我這種寫code新手完全無法接受

umum2905/03 09:17這種基本的漏洞會存在這麼久 勸你快逃ㄚㄚ

tgyhuj0105/03 09:22這種漏洞有在接案做過的應該都見怪不怪了

tgyhuj0105/03 09:23沒有才值得驚訝

tgyhuj0105/03 09:24理想不存在現實裡 不然就像上面說的能者多勞 多做點

ssccg05/03 09:49hardcode和injection是兩回事吧,injection完全是習慣不好

ssccg05/03 09:54hardcode頂多是要改時麻煩點,一種技術債。SQL injection是

ssccg05/03 09:58不滿足最基本的資安規格,而且常見的直接組字串不用參數化

ssccg05/03 09:59的寫法寫起來就沒有比較快啊

ssccg05/03 10:00這種通常都是從來沒學過正確寫法的半路出家碼農寫的,不要

ssccg05/03 10:00用什麼時程壓力去幫基本功不及格的人開脫

nelley05/03 10:06可以把所有db都dump出來這說不定早被其他人dump過了。現

nelley05/03 10:06在你回報了公司才發現出歹事了說不定還變成頭號嫌疑犯。

nelley05/03 10:06我想這才是原po最擔心的事。。。

foreverk05/03 10:17我針對hardcode,說實在補習班也會教injection,還這樣

foreverk05/03 10:17寫單純就,程度差

acgotaku05/03 10:20現在還有 sql injection 這種古老到不行的漏洞?!

InfinitySA05/03 10:23同意樓上 我以為只在教科書範例上看過ww

ku39999905/03 10:23回報啊 要改?沒問題 請給時間 不改?那就不是我的問題

knives05/03 10:37只能說這些都是技術債,現在新的框架用ORM早就沒那問題了

tgyhuj0105/03 10:59別懷疑 多到不行 常接案的人就懂

expury05/03 11:05自學可以到開源專案發 PR 、還能隨便抓出公司專案漏洞

expury05/03 11:05感覺原 po 是有天份的

expury05/03 11:06快換家像樣點的公司吧

typeking05/03 11:45一個人是救不了一間公司的,大家都爛你是想要改善什麼?

iamshiao05/03 11:52一定要回報

TAKADO05/03 11:54還是要回報,然後看看公司的處理方法,就可以決定是不是該

TAKADO05/03 11:54逃了。

gs861378905/03 12:00不要聽五樓在亂講,正常公司根本不會犯這麼基礎的錯誤

kurtsgm05/03 12:03接案公司沒人在管維護性的 你是要clean code還是要money

knives05/03 12:05接案就沒救了,反正你也待不久的,別回報了

jeff8721805/03 12:15感謝大家的回覆 目前有想到一些補洞的方式 看到db裡面

jeff8721805/03 12:15存密碼是明文的方式沒加密 真的大開眼界了…主管今天

jeff8721805/03 12:15不在之後再想辦法回報

rahit05/03 12:21要馬不報 要馬離職的時候報

rahit05/03 12:21現在報就是你負責修

rahit05/03 12:21接案那種責任外包的制度只關心錢有沒有進來

rahit05/03 12:21待久了只會限制自己的發展

ptta05/03 12:44『這麼行喔?那都給你做好啦』

airtsubasa05/03 12:48高雄公司? 嘻嘻 專案外部可連嗎? 不可的話你在擔心

airtsubasa05/03 12:48什麼

airtsubasa05/03 12:49你是專案維護者嗎 職場倫理政治大於程式合理性

gaowei1605/03 12:55原PO 你想一下 上面留言的 就是你公司的前輩類型居多

WaterLengend05/03 13:32臭老人真多XD

knives05/03 13:33現實是菜逼巴以為是自己先發現,其他老人都沒發現,然後回

knives05/03 13:34報給主管被主管打槍,然後不爽離職結局

acgotaku05/03 13:39如果密碼都敢明碼存 那真的可以理解sql注入會發生

acgotaku05/03 13:42其實呀 這些爛code應該不少是老闆創業的時候自己幹出來

acgotaku05/03 13:43既然都是接案公司,你花時間去維護已經收完尾款的專案

acgotaku05/03 13:44真的是有點浪費時間,甚至甲方都不存在了或沒在用了

acgotaku05/03 13:46接案公司用人力評估新案 才有辦法賺一點微薄利潤

acgotaku05/03 13:48不是自己的事業都隨便做 這就是接案公司的態度 你太認真

acgotaku05/03 13:48老闆會覺得 你有時間不去做新案 在搞款項都收完的要幹嘛

Mutibil05/03 13:50笑死 在那邊嘴亂講 依據? 為何要用一般公司的角度去看

Mutibil05/03 13:50接案公司 更何況是更小規模的接案公司 我沒說sql injecti

Mutibil05/03 13:50on這種錯誤是正常去合理化 但人流動率那麼高 有時還要外

Mutibil05/03 13:50包找救火 code review是能做到多確實?要求品質? deadli

Mutibil05/03 13:50ne壓力下 團隊管理人救火都來不及了 能花多少時間團隊管

Mutibil05/03 13:50理 專案迭代那麼快與緊促 什麼都可能發生啊 但都會有它發

Mutibil05/03 13:50生的緣由 不要用當下的認知去看待所有邏輯 覺得都好糞 只

Mutibil05/03 13:50能盡可能做到別讓紕漏常態化 站在不同角度去看待接案性

Mutibil05/03 13:50質 本就是件很荒謬的事情

purplvampire05/03 14:24你覺得只有自己知道嗎?

airtsubasa05/03 14:46如果你要讓公司面對,你不妨用外面電腦去搞一下

leolarrel05/03 14:50別再為能力不足找藉口了.干接案屁事

t6414105/03 14:54接案有其限制沒錯,但不是這麼無限上綱的,原po提的疑慮

t6414105/03 14:54也很合理,結果有人在那邊嘴新手想法的,被反駁一下也是

t6414105/03 14:54剛好而已

tgyhuj0105/03 15:00要說跟接案沒關係也對啦 跟付錢的人關係比較大

tgyhuj0105/03 15:06一堆案子都是舊框架也是有一堆資安問題 你改嗎

jerry03089705/03 15:09XDDDDDDDDD

angusyu05/03 15:15這種問題也能問,聘你做什麼…

EDMillex05/03 15:23你發現了 你來改 加油!

onnie05/03 15:40世界很現實 如果是正在run的專案要改

onnie05/03 15:40收完尾款的code沒有改的必要

kurtsgm05/03 15:46不要聽上面講的什麼用外面的電腦去搞一下之類的話

kurtsgm05/03 15:46就算公司資安做很爛 你去攻擊他還是會吃刑責跟官司

kurtsgm05/03 15:46不要沒事找事做 上面推文的人不會幫你付和解金

luke7205/03 15:47可以改啊,然後各種你想不到的地方炸裂看你怎麼收

luke7205/03 15:48這種爛code通常會有各種神奇的用法,祖傳秘笈

luke7205/03 15:50SQL injection你有沒想過可能某個不知道的專案靠它運作

luke7205/03 15:53所以為什麼越資深的人做這種事情做越慢,因為謹慎

luke7205/03 15:54好的架構是很重要,但對小公司來講,獲利更重要

luke7205/03 15:56資安漏洞,客戶驗收有驗過嗎?有簽賠償條款嗎

kyoe05/03 16:43接案公司講了應該也沒用,因為沒法跟客戶收錢

layer093005/03 17:02前幾篇還有人推接案公司,真的是害人。除非能力很強或

layer093005/03 17:02是真的沒門路才去試試看

layer093005/03 17:04雖然已現在的狀況來看大公司也有機會,但是機率相對小

layer093005/03 17:04至少有資安團隊會幹你

layer093005/03 17:12沒說接案公司不好,但是不推薦想走正路的新手

layer093005/03 17:12會非常痛,然後極小的機率才有機會屠龍

superpandal05/03 17:57對寫c有幫助 基本函數名很多相同 一些用法也類似

superpandal05/03 18:02寫java就很不一樣 目前沒有見過框架跟系統一致性強

superpandal05/03 18:05的 都是亂封裝亂寫 凡事都是api解很可笑

layer093005/03 18:05….語言寫久寫多,會發現好用的function 都一樣。

layer093005/03 18:05不是跟c 很像而是中高階語言都這樣

superpandal05/03 18:06當然公司的可以不用那麼較真 XD 之前寫的也沒有這樣

superpandal05/03 18:09很多都很不一樣 去比就知道

superpandal05/03 18:13php對比它們來說相似度高多了 c其實也沒有那麼難寫

superpandal05/03 18:14純脆是別人的嚇唬 c都可以傳函數當參數

layer093005/03 18:15…寫久就知道了,另外真的幫助不大。因為跨語言的重點

layer093005/03 18:15不在這邊

layer093005/03 18:15另外語法糖各語言不同,但是function 都差不多。

layer093005/03 18:17C 不難寫….? 認真?是從那個架構上寫?

superpandal05/03 18:35可以當入門磚這就夠了 php還可以寫更好

superpandal05/03 18:38c難的是那些底層的實現 本身沒有想像中的難 也可以

superpandal05/03 18:38很動態

layer093005/03 18:50…….

superpandal05/03 18:55就是不管什麼語言你亂寫都很難了解與維護 就像本文

KhePri05/03 20:05塊陶

yamagishi05/03 21:57跟上面提看要不要開ticket改善啊

viper970905/03 22:48推ssccg

ikachann05/04 00:09其實不太意外 曾經駐點看過銀行系統的code 也是慘不忍睹

Lhmstu05/04 02:11上報吧,不過我猜大概早就知道了,只是沒必要修而已畢竟

Lhmstu05/04 02:11沒錢

youtuuube00005/04 03:08不建議改到時爆炸怎麼辦

youtuuube00005/04 03:08薪水不高直接跑了吧

encorek2255405/04 08:35這篇是照妖鏡嗎?上面一堆回覆真是大開眼界,接案

encorek2255405/04 08:35公司的素質都是這樣嗎?

tgyhuj0105/04 08:50有這種疑問是不是對市場不夠了解 還是活在理想中

tgyhuj0105/04 08:52光是一個http改https就可能讓系統掛掉 誰要承擔責任

stosto05/04 10:37恩 ....職場菜鳥

airtsubasa05/04 11:02接案公司? 看過寫內部服務的程式嗎

TAKADO05/04 12:02甲方自己內部的技術債才精彩,乙方驗收一堆報告要交,原碼

TAKADO05/04 12:02掃描弱點掃描是基本的,現在連用的第三方套件1個月沒更新

TAKADO05/04 12:02或是版本不是最新版都要寫原因。

orze0405/04 12:05你該不會以為只有你有發現嗎?

fanatics556605/04 12:49覺得公司其他人都知道,只是沒人要去理而已。如果

fanatics556605/04 12:49原PO很在意程式碼品質的話建議換家公司。

vi00024605/04 13:41幹嘛回報 回報了還要修 快逃啊

vi00024605/04 13:42身為軟體人還是要有基本的職業道德 deadline不是藉口

bxc05/04 14:39who car 直接快逃才是重點

airtsubasa05/04 20:25發文者看來都沒有任何回應 不知道是在拯救世界的路上

airtsubasa05/04 20:25,還是已經被這個世界背叛…

jeff8721805/05 01:26回樓上 最近家人有東西需要幫忙 所以比較少看…也很感

jeff8721805/05 01:26謝大家回覆 因為是跨領域轉職第一次看到這個問題覺得

jeff8721805/05 01:26很神奇 所以就上來問問了

jeff8721805/05 01:32目前也有跟主管反應 但好像沒有要修或者要動的意思 看

jeff8721805/05 01:32來只能先這樣了…

airtsubasa05/05 03:30回樓上,你是對的,但現實還是要看清,如果案子是轉到

airtsubasa05/05 03:30自身維護建議慢慢修正,如果你只是瞄到別人案子,還是

airtsubasa05/05 03:30當個安靜的人

twgamerave05/05 04:24我的RD主管寫的程式也會有這種問題..講白了沒有code

twgamerave05/05 04:24 review,產品賣不了多少的公司,根本沒人在乎這個問

twgamerave05/05 04:24題,他們只在乎你在時間內有更多的產出還有配合客戶

twgamerave05/05 04:24一改再改

dream112405/05 13:27可以回報啊 剛好試試他們是怎麼對待新人和這類問題

dream112405/05 13:27如果你沒講,那事情也許永遠沒機會改善

dream112405/05 13:28另外,其他亂七八糟、髒亂等問題是真實世界常有的

dream112405/05 13:29看亂的程度和能處理的資源多寡,有時只好先放著不管

viper970905/05 17:30推原po的回應

akito11705/05 22:41正常也不會要你改,沒收入又要大改,又有可能有新的錯

akito11705/05 22:41誤,只能後來的案子多注意一點吧

new12285105/06 01:55寧願多加班不拿錢也要寫clean code. deadline可以延期

new12285105/06 01:55頂多賠錢

newnovice05/06 11:01惦惦or換公司

Darkword198705/06 12:47我的話會先私下問前輩 不會直接往上捅 那當然如果

Darkword198705/06 12:47得到的結論是擺爛的話我會考慮開始找下一份