Webdeveloperii din Romania
Saptamanile trecute am discutat cu cineva, pentru o posibila colaborare in PHP. Adica eu sa ii fac respectivului niste aplicatii. Recomandarea a venit de la skreach, pe care l-as ruga sa isi reconsidere parerea despre cei cu care lucreaza. Cu atitudinea pe care au avut-o, cu siguranta nu sunt cei mai tari.
Discutia a fost clara pe limbajul PHP, cu baze de date, si fisiere. Raspunsul a fost: “iti voi trimite maine un contract de confidentialitate, ni-l trimiti semnat, si iti trimito descriere a primului proiect“. Am asteptat o zi, i-am atras atentia tipului ca a uitat. Faza a continuat vreo 5 zile, in care eu ar fi tot trebuit sa astept acel contract. Teoretic, daca eram ‘mai adult’, si ma bazam pe un singur job (cel pentru care vroiam colaborarea), muream de foame.
Discutia finala: Aaaaa, pai CSS stii? Si Javascript? Nu? Pai imi pare rau, eu sincer dupa asta ma uitam.
Acum trag eu concluziile mele: Ca project manageri / human resources manager, astia sunt prosti. Clar. De ce? La o scurta vizita pe hackersblog, va lamuriti clar de ce va trebuie programatori php, si nu desgneri. In momentul cand codul php trece prin putine perechi de ochi, este destul de probabil sa fie SQLi vulnerable, XSS vulnerable, sau alte chestii.
Desi e usor sa scrii in formatul $username=htmlspecialchars(mysql_real_escape_string($_POST['username'])); , din cate observ pe net, relativ putini o fac. Daca un site gen GSP.ro, care se presupune ca are buget ok, e SQLi vulnerable cu nesimtire, pai ce sa mai zicem la site-urile mici?
Cateva alte erori banale pe care le-am descoperit:
- Exista login.php, care daca user&pass sunt corecte, trimit in alta pagina. Celelalte pagini NU verifica nimic gen sesiune. Daca stii url-ul lor, intri direct. Astazi de la scoala am intrat asa in adminul site-ului unei firme. Din greseala pot spune, dar m-am distrat. produse.php era fisierul care mi s-a deschis prima oara,si care avea un meniu frumos pentru restul paginilor.
- Exista login.html , in care un cod JavaScript verifica username si parola. Eventual codul JS encodat, ca sa ai de ce sa faci o vizita aici.
- Exista login.php, care face verificarea in baza de date, dar in baza de date exista username “” si password “”. Astfel nu mai trebuie sa te obosesti sa completezi nimic; pur si simplu dai enter. Am vazut aceasta eroare pe una din aplicatiile de la mine din liceu, pe care niste designeri au primit bani seriosi sa o faca. Penibil. De ce nu le-or cere elevilor, nu stiu.
Pana una alta, sustin parerea, si concluzionez astfel post-ul. Nu mai cautati designeri, daca nu vreti sa va faceti de cacao masiv. Mie nu mi-a zis nimeni ca site-urile/aplicatiile facute de mine arata naspa. In schimb, ABSOLUT NICI UNA nu a fost sparta pana acum. Si in limita posibilitatilor, cu ajutorul lui Cosmin & altii,au fost testate cat de cat.
Kappacelu` RSS
