公司 PHP 的一个 CMS 系统要外包。找了几个外包团队都不太靠谱。
本来想找个大学团队做。
听说是一个教授带领的大学生团队。听起来很厉害的样子。
想了解一下他们的水平。让他们拿以前做过的项目来看看。
首先丢了一堆图过来。
我一看。用 dreamweaver 写 PHP 的截图。就不说代码风格有多。。。了。
我又仔细一看,到处都是$_GET['xx']拼接在 SQL 语句里。
我以为有全局过滤,仔细找了一下。到处都没有。
直接执行 mysql_query($sql)
其他的嘈点多到没法说。
就在群里问了一下 “我看了一下你们的 php 代码截图。发现了几处注入点。你们如何保证安全性”
他们直接丢过来 “呵呵 这段代码反映不出我们对 sql 注入防范的 ”“安全的攻防 包括 BT5 等我们都有使用和研究” “我们应该会采用 wordpress 的框架进行开发” ……
你们这么厉害我们请不起。
问:这里面到底有多少嘈点。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.