Webdeveloperii din Romania
Saptamanile trecute am discutat cu cineva, pentru o posibila colaborare in PHP. Adica eu sa ii fac respectivului niste aplicatii. Recomandarea a venit de la skreach, pe care l-as ruga sa isi reconsidere parerea despre cei cu care lucreaza. Cu atitudinea pe care au avut-o, cu siguranta nu sunt cei mai tari.
Discutia a fost clara pe limbajul PHP, cu baze de date, si fisiere. Raspunsul a fost: Â “iti voi trimite maine un contract de confidentialitate, ni-l trimiti semnat, si iti trimito descriere a primului proiect“. Am asteptat o zi, i-am atras atentia tipului ca a uitat. Faza a continuat vreo 5 zile, in care eu ar fi tot trebuit sa astept acel contract. Teoretic, daca eram ‘mai adult’, si ma bazam pe un singur job (cel pentru care vroiam colaborarea), muream de foame.
Discutia finala: Aaaaa, pai CSS stii? Si Javascript? Nu? Pai imi pare rau, eu sincer dupa asta ma uitam.
Acum trag eu concluziile mele: Ca project manageri / human resources manager, astia sunt prosti. Clar. De ce? La o scurta vizita pe hackersblog, va lamuriti clar de ce va trebuie programatori php, si nu desgneri. In momentul cand codul php trece prin putine perechi de ochi, este destul de probabil sa fie SQLi vulnerable, XSS vulnerable, sau alte chestii.
Desi e usor sa scrii in formatul $username=htmlspecialchars(mysql_real_escape_string($_POST['username'])); Â , din cate observ pe net, relativ putini o fac. Daca un site gen GSP.ro, care se presupune ca are buget ok, e SQLi vulnerable cu nesimtire, pai ce sa mai zicem la site-urile mici?
Cateva alte erori banale pe care le-am descoperit:
- Exista login.php, care daca user&pass sunt corecte, trimit in alta pagina. Celelalte pagini NU verifica nimic gen sesiune. Daca stii url-ul lor, intri direct. Astazi de la scoala am intrat asa in adminul site-ului unei firme. Din greseala pot spune, dar m-am distrat. produse.php era fisierul care mi s-a deschis prima oara,si care avea un meniu frumos pentru restul paginilor.
- Exista login.html , in care un cod JavaScript verifica username si parola. Eventual codul JS encodat, ca sa ai de ce sa faci o vizita aici.
- Exista login.php, care face verificarea in baza de date, dar in baza de date exista username “” si password “”. Astfel nu mai trebuie sa te obosesti sa completezi nimic; pur si simplu dai enter. Am vazut aceasta eroare pe una din aplicatiile de la mine din liceu, pe care niste designeri au primit bani seriosi sa o faca. Penibil. De ce nu le-or cere elevilor, nu stiu.
Pana una alta, sustin parerea, si concluzionez astfel post-ul. Nu mai cautati designeri, daca nu vreti sa va faceti de cacao masiv. Mie nu mi-a zis nimeni ca site-urile/aplicatiile facute de mine arata naspa. In schimb, ABSOLUT NICI UNA nu a fost sparta pana acum. Si in limita posibilitatilor, cu ajutorul lui Cosmin & altii,au fost testate cat de cat.
E-mail
RSS
Publicat la data de 15-12-2008 la ora 23:38:03
Cred ca nu se face diferenta intre parti. Una e designer si front-end developer (scrie HTML, CSS, JS) si alta e back-end care scrie codul care ruleaza pe server.
Nu spun ca un programator web nu ar trebui sa stie ceva din amandoua, dar se specializeaza pe ceva.
Publicat la data de 15-12-2008 la ora 23:39:36
@Mihai: da,eu stiu css, si stiu si js (minimum din amandoua), insa nu le folosesc decat in scop personal,pentru a nu fi acuzat dupa aia ca am scris ceva prost. Macar in PHP scriu binisor ce scriu
Publicat la data de 15-12-2008 la ora 23:56:34
Din necunoştinţă de cauză sau, de cele mai multe ori, din zgârcenie, firmele preferă să angajeze o struţo-cămilă care să ştie puţin din toate.
Ok, unde e problema? Păi… tocmai că struÅ£o-cămila ÅŸtie PUÅ¢IN din toate, dar nu excelează în niciun domeniu dintr-un motiv simplu dar ignorat de mulÅ£i: în domeniul ăsta trebuie să evoluezi. ÃŽn fiecare zi apare ceva nou, o tehnologie, o vulnerabilitate, etc. Dacă tu eÅŸti focusat pe javascript, nu vei fi la curent cu php. Dacă eÅŸti focusat pe photoshop, nu vei ÅŸtii toate noutăţile din js, and so on.
ÃŽmi place să cred că am experienţă ÅŸi că mă pricep la ce fac (măcar cât de cât) dar aÅŸ putea spune că la câteva zile mai scot un “wow! aÅŸa se face!” atât în js cât ÅŸi în css (bine, în css mai puÅ£in)
ÃŽn absolut niciun domeniu (IT sau altceva) nu poÅ£i spune: „băi, gata, am învăţat tot ce se putea, trecem la altcevaâ€.
Am avut un client care a intenţionat ca pe lângă javascript să-i scriu şi „puţin†php şi să-i configurez un server. Chiar dacă ştiu ceva PHP (basic stuff) şi suma oferită era mai mult decât decentă, am zis pas. Pentru că nu vreau să citesc despre mine chestii de genul „ia uite-l bă pe Staicu cum a făcut treaba 
Din principiu nu prea mă bag la clienÅ£i care vor “a guy all in one” sau ăia care zic „băi, e urgent, mâine îl vreauâ€
Publicat la data de 15-12-2008 la ora 23:56:42
Kappacelu hackerelu nervos
)
Publicat la data de 16-12-2008 la ora 00:08:28
Nu da vina pe mine, am colaborat mult timp cu ei ÅŸi totul a fost ok din toate punctele de vedere:)
Publicat la data de 16-12-2008 la ora 00:08:41
@Ionut: imi place,ai cam aceleasi idei cu mine:) de invatat 100% un domeniu stiu ca e imposibil, dar daca lucrezi (aproape) zilnic cu el, eu presupun ca esti relativ ok, si stii cele mai intalnite bug-uri
@Baghy: nu hacker, ci programator cu IQ oleaca mai mare decat media
Publicat la data de 16-12-2008 la ora 00:11:21
@Skreach: Nu am dat vina pe tine,dar ti-am atras usor atentia. Oi fi colaborat tu cu ei, ti-or fi dat si sume ok, insa cu abordarea asta iti garantez ca nu sunt ok. Si daca site-ului lor nu ii pot face nimic ca e static, unuia dinamic este posibil sa da,daca ei cauta ce zicea Ionut mai sus “a guy all in one”.
Publicat la data de 16-12-2008 la ora 05:23:08
Am mai spus de câteva ori: orice web dev cu capul pe umeri NU va vrea o colaborare cu astfel de angajatori. Decât cei în foame CRUNTĂ de bani. Aceştia intră în aceeaşi categorie cu indienii care fac o clonă de youtube cu 500$.
@K: nu la tine era citatul ăla de pe un blog în care spunea un rus ceva de ţările mai slab dezvoltate (printre care ÅŸi România) ? Eh, uite, din cauza “programatorilor” de genul ăsta.
Dacă stau să mă gândesc… Este valabil în orice domeniu ce am zis mai sus, nu doar în IT.
Am zis!
Publicat la data de 16-12-2008 la ora 12:08:25
@Ionut: ba la mine pe blog era ala:P bravo, ori ai memorie buna,ori ai devenit un fan de-al blogului meu:))))
Publicat la data de 16-12-2008 la ora 17:12:49
Eh ÅŸi tu acum