J'ai été embauché par quelqu'un pour effectuer de petits travaux sur un site. C'est un site pour une grande entreprise. Il contient des données très sensibles, la sécurité est donc très importante. Lors de l'analyse du code, j'ai remarqué qu'il était rempli de failles de sécurité: de nombreux fichiers PHP lisant directement les entrées / sorties des utilisateurs dans les requêtes mysql et les commandes système.
Le problème est que la personne qui a créé le site pour lui est un programmeur avec sa famille et ses enfants qui dépendent de ce travail. Je ne peux pas simplement dire: "votre site est un parc d'attractions pour enfants script. Laissez-moi le refaire pour vous et tout ira bien."
Que feriez-vous dans cette situation?
Mise à jour:
J'ai suivi quelques bons conseils ici et ai rapporté poliment au développeur que j'avais découvert quelques failles de sécurité sur le site. J'ai souligné la ligne et dit qu'il pourrait y avoir une vulnérabilité possible pour les attaques d'injection SQL là-bas, et a demandé s'il était au courant. Il a répondu: "Bien sûr, mais je pense que pour l'exploiter, l'attaquant devrait avoir des informations sur la structure de la base de données; je dois mieux comprendre" .
Mise à jour 2:
J'ai dit que ce n'était pas toujours le cas et lui ai suggéré de suivre ce lien de question Stack Overflow afin de le traiter correctement: Comment empêcher l'injection SQL en PHP? Il a dit qu'il l'étudierait et m'a remercié de le lui avoir dit auparavant. Je suppose que ma part est terminée, merci les gars.