Sono stato assunto da qualcuno per fare un piccolo lavoro su un sito. È un sito per una grande azienda. Contiene dati molto sensibili, quindi la sicurezza è molto importante. Dopo aver analizzato il codice, ho notato che è pieno di falle di sicurezza - leggi, molti file PHP che lanciano l'input get / post dell'utente direttamente nelle richieste mysql e nei comandi di sistema.
Il problema è che la persona che ha creato il sito per lui è un programmatore con famiglia e figli che dipendono da quel lavoro. Non posso semplicemente dire: "il tuo sito è un parco divertimenti con script kiddie, permettimi di rifarlo per te e starai bene."
Che cosa faresti in questa situazione?
Aggiornamento:
Ho seguito alcuni buoni consigli qui e gentilmente riferito allo sviluppatore che ho trovato alcuni possibili difetti di sicurezza sul sito. Ho fatto notare la linea e ho detto che potrebbe esserci una possibile vulnerabilità per gli attacchi SQL injection lì, e ho chiesto se ne fosse a conoscenza. Ha risposto: "certo, ma penso che per sfruttarlo l'hacker dovrebbe avere informazioni sulla struttura del database, devo capire meglio" .
Aggiornamento 2:
Ho detto che non è sempre il caso e mi ha suggerito di seguire questo link per la domanda di overflow dello stack per gestirlo correttamente: Come prevenire l'SQL injection in PHP? Ha detto che lo studierà e mi ha ringraziato per avergli parlato prima. Credo che la mia parte sia finita, grazie ragazzi.