Securitatea scripturilor PHP partea 6. Elvila

Citeam la Orlando pe blog ca Elvila a platit 600000 euro pe noul lor site. Si am intrat din curiozitate sa vad cum arata, cum se mişcă, cum e făcut etc. Ce am văzut m-a oripilat:

1. SQL injection
2. More SQL injection
3. Inclusiv amărâtul de search suferă de SQL injection

Evident bugurile sint de design de cod. Securitate zero absolut. Si in condiţiile astea nu vad de ce cineva ar avea curajul sa comande de la ei ceva online.

Cum mama dracului sa plătească cineva 600000 euro pentru o mizerie ca altfel nu pot sa-i spun , care poate fi data jos la orice ora de către un script kiddie de 8 ani ? Aloooooooo Elvila . Mă aude cineva ? ĂŢI ARUNCAT BANII PE FEREASTRAAAAAAA.

Citi programatori au lucrat la site? 5? Cit timp? 5 luni.

Recomandarea mea ar fi sa treacă site-ul offline a.s.a.p si sa treacă RAPID la un audit de cod. Este INADMISIBIL sa trimiţi parametrii într-un query sql fără nici un fel de verificare. Incă sint şocat de suma plătită. 600000 Euro ? Un site de 300E făcut de un căminist in 2 nopţi e mult mai secure ca ăsta.

*half joke* Elvila: vreţi sa va auditez/securez site-ul ? 60.000E va costa. Ca sa păstram proporţiile. */half joke*

Apropo… Pina si cart-ul are 0 securitate . Foarte drăguţ … sql inclusion pe INSERT si UPDATE . Asta ca sa facă treaba kinderilor mult mai uşoară…

Bănuiesc ca si restul de cod e scris tot aşa.