मुझे किसी व्यक्ति द्वारा किसी साइट पर कुछ छोटे काम करने के लिए रखा गया है। यह एक बड़ी कंपनी के लिए एक साइट है। इसमें बहुत संवेदनशील डेटा होता है, इसलिए सुरक्षा बहुत महत्वपूर्ण है। कोड का विश्लेषण करने पर, मैंने देखा है कि यह सुरक्षा छिद्रों से भरा हुआ है - पढ़ें, बहुत सारी PHP फाइलें जो उपयोगकर्ता को मिलती हैं / पोस्ट इनपुट सीधे mysql अनुरोधों और सिस्टम कमांड में।
समस्या यह है कि जिस व्यक्ति ने उसके लिए साइट बनाई है वह परिवार और बच्चों के साथ एक प्रोग्रामर है जो उस नौकरी पर निर्भर है। मैं बस यह नहीं कह सकता: "आपकी साइट एक स्क्रिप्ट किडी मनोरंजन पार्क है। मुझे इसे आपके लिए फिर से तैयार करना है और आप ठीक हो जाएंगे।"
इस स्थिति में आप क्या करेंगे?
अपडेट करें:
मैंने यहां कुछ अच्छी सलाह का पालन किया और डेवलपर को विनम्रता से बताया कि मुझे साइट पर कुछ संभावित सुरक्षा खामियां मिली हैं। मैंने लाइन को इंगित किया और कहा कि वहाँ एसक्यूएल इंजेक्शन हमलों के लिए एक संभावित भेद्यता हो सकती है, और पूछा कि क्या वह इसके बारे में जानते हैं। उन्होंने उत्तर दिया: "निश्चित रूप से, लेकिन मुझे लगता है कि इसका फायदा उठाने के लिए हमलावर को डेटाबेस की संरचना की जानकारी होनी चाहिए। मुझे बेहतर समझना होगा" ।
अपडेट 2:
मैंने कहा कि हमेशा ऐसा नहीं होता है और सुझाव दिया जाता है कि वह इस स्टैक ओवरफ्लो प्रश्न लिंक का अनुसरण करता है ताकि सही तरीके से निपटा जा सके : PHP में SQL इंजेक्शन को कैसे रोकें? उन्होंने कहा कि वह इसका अध्ययन करेंगे और मुझे उन्हें पहले बताने के लिए धन्यवाद दिया। मुझे लगता है कि मेरा हिस्सा किया जाता है, धन्यवाद दोस्तों।