Sono stato assunto da qualcuno per fare qualche piccolo lavoro in un sito. È un sito per una grande azienda. Contiene dati molto sensibili, quindi la sicurezza è molto importante. Dopo aver analizzato il codice, ho notato che è pieno di buchi di sicurezza - leggi, molti file PHP che inviano l'utente ottengono / inviano input direttamente nelle richieste mysql e nei comandi di sistema.
Il problema è che la persona che ha creato il sito per lui è un programmatore con famiglia e figli che dipendono da quel lavoro. Non posso semplicemente dire: "il tuo sito è un parco divertimenti per bambini con sceneggiatura. Fammi rifare per te e starai bene."
Cosa faresti in questa situazione?
Aggiornare:
Ho seguito alcuni buoni consigli qui e cortesemente segnalato allo sviluppatore che ho trovato alcuni possibili difetti di sicurezza sul sito. Ho indicato la linea e detto che potrebbe esserci una possibile vulnerabilità per gli attacchi SQL injection lì, e ho chiesto se ne fosse a conoscenza. Ha risposto: "certo, ma penso che per sfruttarlo l'attaccante dovrebbe avere informazioni sulla struttura del database; devo capire meglio" .
Aggiornamento 2:
Ho detto che non è sempre il caso e ho suggerito di seguire questo link della domanda Stack Overflow per gestirlo correttamente: come prevenire l'iniezione di SQL in PHP? Ha detto che lo avrebbe studiato e mi ha ringraziato per averlo detto prima. Immagino che la mia parte sia finita, grazie ragazzi.