新手剛入職就發現有SQL injection漏洞 該回報嗎

看板Soft_Job作者 (JSMJ)時間1年前 (2023/05/03 00:45), 1年前編輯推噓40(488171)
留言227則, 68人參與, 11月前最新討論串1/2 (看更多)
先簡單自我介紹一下 小弟自學+上課 學了一段時間的Java(大約三年) 偶爾也會上github對 開源專案發一些PR 也會看一些資安 資訊方面的相關議題 因為住在蠻偏遠的地區 所以直到 最近才有找軟體方面的工作 目前剛錄取一份接案公司的工作 主要語言是php 今天整天幾乎都在看code 但是跟github上開源的code比起來真的是又髒又亂 變數命名沒照規則 而且還用老舊的php5 例如2023年的案子裡面還有deprecated的meth od 更別說程式碼感覺都是貼來貼去的 拿以前的來貼改 檔案名稱 資料夾名稱也是都奇奇怪怪 整個專案裡面一大堆無關的code 看code看到後面越來越不對勁 一個簡單的or 1=1就看出來根本沒防sql注入 下班後用某工具對公司的一個案子試了一下 直接把所有db跟table還有資料直接撈出來 重點是全部案子 包括公司的一些資訊都在同一個server上可以直接撈 請問我該回報嗎 回報了不知道會不會被黑…(雖然我手上還有另一份offer 第一次在本版po文請見諒 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.18.174 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1683045945.A.DF8.html ※ 編輯: jeff87218 (114.27.18.174 臺灣), 05/03/2023 00:48:30
05/03 00:51, 1年前 , 1F
如果另一個 offer 能接受不如就直接閃人吧
05/03 00:51, 1F
05/03 00:53, 1年前 , 2F
回報為啥會被黑,語氣正常的話應該大家都很願意學習吧
05/03 00:53, 2F
05/03 01:07, 1年前 , 3F
這些改善的工作就交給你了
05/03 01:07, 3F
05/03 01:09, 1年前 , 4F
趕快跑啊,還回報?
05/03 01:09, 4F
05/03 01:09, 1年前 , 5F
好典型新手的想法 開源 追求code完美簡潔blablabla
05/03 01:09, 5F
05/03 01:09, 1年前 , 6F
快逃
05/03 01:09, 6F
05/03 01:10, 1年前 , 7F
都是接案公司了 當deadline逼近 誰還管樣樣都完美啊
05/03 01:10, 7F
05/03 01:11, 1年前 , 8F
老闆請你來幹嘛的?有問題不回報,上PTT發問,笑死
05/03 01:11, 8F
05/03 01:11, 1年前 , 9F
能趕快交付 拿到錢比較重要 你該了解當初這樣做的事由
05/03 01:11, 9F
05/03 01:15, 1年前 , 10F
先跟你上頭討論吧!怎麼會是先發文跟鄉民討論 笑死
05/03 01:15, 10F
05/03 01:43, 1年前 , 11F
趕快換一家有點水準的公司
05/03 01:43, 11F
05/03 02:37, 1年前 , 12F
最好用pdo傳參 php官方文檔很好 寫php最愜意的就是
05/03 02:37, 12F
05/03 02:38, 1年前 , 13F
邊看文檔寫一寫發現這樣就寫好了
05/03 02:38, 13F
05/03 02:42, 1年前 , 14F
文檔也有包 當然亂寫的肯定不會這樣做
05/03 02:42, 14F
05/03 02:45, 1年前 , 15F
簡潔與安全和擴充性不是衝突的 我寫的是這樣 XD
05/03 02:45, 15F
05/03 02:49, 1年前 , 16F
所以都不想用框架 什麼高並發原生其實也都可以
05/03 02:49, 16F
05/03 02:50, 1年前 , 17F
解決 php本身就是對c語言的封裝 會寫了對了解c有幫助
05/03 02:50, 17F
05/03 03:02, 1年前 , 18F
其它的語言都是研究個老半天 然後例如在jdk裡有些細
05/03 03:02, 18F
05/03 03:04, 1年前 , 19F
節 而且更新php版本你應該考慮 如果你是oop狂人
05/03 03:04, 19F
05/03 03:05, 1年前 , 20F
這種等級的技術債還是快逃吧,有礙成長,除非錢多真香
05/03 03:05, 20F
05/03 03:05, 1年前 , 21F
05/03 03:05, 21F
05/03 03:10, 1年前 , 22F
追求乾淨的程式跟新手老手沒關係,支持原po保持初衷,
05/03 03:10, 22F
05/03 03:10, 1年前 , 23F
但也要考量各種外力影響,避免成為武痴
05/03 03:10, 23F
05/03 03:15, 1年前 , 24F
至於要不要回報…很大程度取決於你們公司風氣,建議你
05/03 03:15, 24F
05/03 03:15, 1年前 , 25F
多觀察和試探前輩跟同事的反應
05/03 03:15, 25F
05/03 03:18, 1年前 , 26F
言歸正傳 回報要重構
05/03 03:18, 26F
05/03 03:19, 1年前 , 27F
有可能大家都心裡有數但就是嫌麻煩而已。嗯不是每個人
05/03 03:19, 27F
05/03 03:19, 1年前 , 28F
都覺得進步是好事…
05/03 03:19, 28F
05/03 03:21, 1年前 , 29F
用vi/vim重構 不行就閃
05/03 03:21, 29F
05/03 03:24, 1年前 , 30F
現在php xdebug斷點追縱也很方便
05/03 03:24, 30F
05/03 04:20, 1年前 , 31F
快跑 這問題根本不該發生
05/03 04:20, 31F
05/03 04:41, 1年前 , 32F
某 Mutibil 這完全不是追求完美的問題吧
05/03 04:41, 32F
05/03 04:41, 1年前 , 33F
事情亂做也可以被你美化成"當初這樣做的事由"到底有沒有
05/03 04:41, 33F
05/03 04:41, 1年前 , 34F
底線啊
05/03 04:41, 34F
05/03 04:41, 1年前 , 35F
你這樣亂搞用的理由是"能趕快交付",我就問到底是亂搞還
05/03 04:41, 35F
05/03 04:41, 1年前 , 36F
是把事情做對能比較快交出能用的東西?
05/03 04:41, 36F
05/03 04:41, 1年前 , 37F
當然如果你的程度就是只能亂搞,沒日沒夜的亂搞花一堆不
05/03 04:41, 37F
05/03 04:41, 1年前 , 38F
必要的時間繞不必要的圈圈解不必要的 bug 最後總算生出一
05/03 04:41, 38F
05/03 04:41, 1年前 , 39F
個勉強能用的東西你大概會很自豪自己在 deadline 前生出
05/03 04:41, 39F
還有 148 則推文
05/04 08:35, 1年前 , 188F
公司的素質都是這樣嗎?
05/04 08:35, 188F
05/04 08:50, 1年前 , 189F
有這種疑問是不是對市場不夠了解 還是活在理想中
05/04 08:50, 189F
05/04 08:52, 1年前 , 190F
光是一個http改https就可能讓系統掛掉 誰要承擔責任
05/04 08:52, 190F
05/04 10:37, 1年前 , 191F
恩 ....職場菜鳥
05/04 10:37, 191F
05/04 11:02, 1年前 , 192F
接案公司? 看過寫內部服務的程式嗎
05/04 11:02, 192F
05/04 12:02, 1年前 , 193F
甲方自己內部的技術債才精彩,乙方驗收一堆報告要交,原碼
05/04 12:02, 193F
05/04 12:02, 1年前 , 194F
掃描弱點掃描是基本的,現在連用的第三方套件1個月沒更新
05/04 12:02, 194F
05/04 12:02, 1年前 , 195F
或是版本不是最新版都要寫原因。
05/04 12:02, 195F
05/04 12:05, 1年前 , 196F
你該不會以為只有你有發現嗎?
05/04 12:05, 196F
05/04 12:49, 1年前 , 197F
覺得公司其他人都知道,只是沒人要去理而已。如果
05/04 12:49, 197F
05/04 12:49, 1年前 , 198F
原PO很在意程式碼品質的話建議換家公司。
05/04 12:49, 198F
05/04 13:41, 1年前 , 199F
幹嘛回報 回報了還要修 快逃啊
05/04 13:41, 199F
05/04 13:42, 1年前 , 200F
身為軟體人還是要有基本的職業道德 deadline不是藉口
05/04 13:42, 200F
05/04 14:39, 1年前 , 201F
who car 直接快逃才是重點
05/04 14:39, 201F
05/04 20:25, 1年前 , 202F
發文者看來都沒有任何回應 不知道是在拯救世界的路上
05/04 20:25, 202F
05/04 20:25, 1年前 , 203F
,還是已經被這個世界背叛…
05/04 20:25, 203F
05/05 01:26, 1年前 , 204F
回樓上 最近家人有東西需要幫忙 所以比較少看…也很感
05/05 01:26, 204F
05/05 01:26, 1年前 , 205F
謝大家回覆 因為是跨領域轉職第一次看到這個問題覺得
05/05 01:26, 205F
05/05 01:26, 1年前 , 206F
很神奇 所以就上來問問了
05/05 01:26, 206F
05/05 01:32, 1年前 , 207F
目前也有跟主管反應 但好像沒有要修或者要動的意思 看
05/05 01:32, 207F
05/05 01:32, 1年前 , 208F
來只能先這樣了…
05/05 01:32, 208F
05/05 03:30, 1年前 , 209F
回樓上,你是對的,但現實還是要看清,如果案子是轉到
05/05 03:30, 209F
05/05 03:30, 1年前 , 210F
自身維護建議慢慢修正,如果你只是瞄到別人案子,還是
05/05 03:30, 210F
05/05 03:30, 1年前 , 211F
當個安靜的人
05/05 03:30, 211F
05/05 04:24, 1年前 , 212F
我的RD主管寫的程式也會有這種問題..講白了沒有code
05/05 04:24, 212F
05/05 04:24, 1年前 , 213F
review,產品賣不了多少的公司,根本沒人在乎這個問
05/05 04:24, 213F
05/05 04:24, 1年前 , 214F
題,他們只在乎你在時間內有更多的產出還有配合客戶
05/05 04:24, 214F
05/05 04:24, 1年前 , 215F
一改再改
05/05 04:24, 215F
05/05 13:27, 1年前 , 216F
可以回報啊 剛好試試他們是怎麼對待新人和這類問題
05/05 13:27, 216F
05/05 13:27, 1年前 , 217F
如果你沒講,那事情也許永遠沒機會改善
05/05 13:27, 217F
05/05 13:28, 1年前 , 218F
另外,其他亂七八糟、髒亂等問題是真實世界常有的
05/05 13:28, 218F
05/05 13:29, 1年前 , 219F
看亂的程度和能處理的資源多寡,有時只好先放著不管
05/05 13:29, 219F
05/05 17:30, 1年前 , 220F
推原po的回應
05/05 17:30, 220F
05/05 22:41, 1年前 , 221F
正常也不會要你改,沒收入又要大改,又有可能有新的錯
05/05 22:41, 221F
05/05 22:41, 1年前 , 222F
誤,只能後來的案子多注意一點吧
05/05 22:41, 222F
05/06 01:55, 1年前 , 223F
寧願多加班不拿錢也要寫clean code. deadline可以延期
05/06 01:55, 223F
05/06 01:55, 1年前 , 224F
頂多賠錢
05/06 01:55, 224F
05/06 11:01, 11月前 , 225F
惦惦or換公司
05/06 11:01, 225F
05/06 12:47, 11月前 , 226F
我的話會先私下問前輩 不會直接往上捅 那當然如果
05/06 12:47, 226F
05/06 12:47, 11月前 , 227F
得到的結論是擺爛的話我會考慮開始找下一份
05/06 12:47, 227F
更多 jeff87218 的文章
文章代碼(AID): #1aKJuvtu (Soft_Job)
更多 jeff87218 的文章
文章代碼(AID): #1aKJuvtu (Soft_Job)