Saya telah disewa oleh seseorang untuk melakukan pekerjaan kecil di sebuah situs. Ini situs untuk perusahaan besar. Ini berisi data yang sangat sensitif, jadi keamanan sangat penting. Setelah menganalisis kode, saya perhatikan itu dipenuhi dengan lubang keamanan - baca, banyak file PHP yang melemparkan input pengguna / posting langsung ke permintaan mysql dan perintah sistem.
Masalahnya adalah, orang yang membuat situs untuknya adalah seorang programmer dengan keluarga dan anak-anak yang bergantung pada pekerjaan itu. Saya tidak bisa mengatakan: "situs Anda adalah taman hiburan naskah anak-anak. Biarkan saya mengulanginya untuk Anda dan Anda akan baik-baik saja."
Apa yang akan kamu lakukan dalam situasi ini?
Memperbarui:
Saya mengikuti beberapa saran bagus di sini dan dengan sopan melaporkan kepada pengembang bahwa saya telah menemukan beberapa kemungkinan kelemahan keamanan di situs. Saya menunjukkan garis dan mengatakan mungkin ada kerentanan untuk serangan injeksi SQL di sana, dan bertanya apakah dia tahu tentang hal itu. Dia menjawab: "tentu, tapi saya pikir untuk mengeksploitasinya penyerang harus memiliki informasi tentang struktur database; saya harus mengerti lebih baik" .
Pembaruan 2:
Saya mengatakan bahwa tidak selalu demikian dan menyarankan agar ia mengikuti tautan pertanyaan Stack Overflow ini untuk menanganinya dengan benar: Bagaimana mencegah injeksi SQL dalam PHP? Dia mengatakan akan mempelajarinya dan mengucapkan terima kasih karena telah memberitahunya sebelumnya. Saya kira bagian saya selesai, terima kasih kawan.