ワイ天才プログラマ、何故かこのコード書いただけで上司にブチ切れられる
■ このスレッドは過去ログ倉庫に格納されています
function search_user(userName) {
return db.all(
'select * from user where user_name=' + userName)
}
意味わからん yusuke; truncate table userさんが登録してくるから ぼく「ユーザ名は"Alice or A='A'"と…」 userNameは完璧にエスケープされてるものとする スネークケースとキャメルケースが混在してるのも地味に気になる 駆け出しエンジニア()が公開してるガバガバセキュリティアプリを潰す仕事をしたい むしろPGの仕事はじめたてのころFW側でエスケープされてるの知らなくて
イッチみたいなコード見てこれおかしいやろと思ったわ >>23
こういう駆け出しエンジニア見下すやつってすぐに駆け出しエンジニアに追い抜かれそう あーなるほどな、これは怒られてもしゃーないわ
皆もそう思うやろ?皆からあかん箇所言うたれw 駆け出しエンジニアのコードあるある
if (isAho == true) >>33
いやこれはさすがに単純すぎるけど似たような条件文よく見るよ >>31
これ言うほど悪いか?
ちょっと余計なだけで処理的には変わらんやろ >>32
駆け出しエンジニア(笑)以下のエンジニアさん……w 名前から紛らわしいなあしっかりせいや無能アフィクソ 無駄なことやっとんな...
まあ動くからエエか... select *はやめろちゃんとカラム指定しろ
後with (nolock)つけろ 上司有能やん
ワイ社では平気な顔してこのレベルで業務アプリ作ってるわ
いまだにVB.netとか使ってるしさっさと潰れてほしい いまだにこうやってベタでSQL文プログラムの中に書いてるところなんかあんの? 世の中の訳分からん何年もメンテされていないような零細ECサイトのバックエンドはこれに毛が生えたレベルの実装ゴロゴロあるからすぐにやられる >>34
この引数userNameにフォームから直接入力された値が入ってくる場合、
「taro; truncate table user;」さんを検索しようとするとテーブルの中身全部削除される アホ「パスワード変更メールの送信先アドレスも設定できるようにしとこ!」 >>44
sound houseとかそうやったな
SQLインジェクションで顧客情報抜かれて大惨事やった これがダメならどうやればええんや?これしかないやろ これなにがあかんの?
フロント
user = axios.get('/user/1')
<div>{user.name}</div>
DB
{
"user": {
"id": 1,
"name": "shiota",
"email": "shiota@example.com",
"last_access_ip": "123.456.789.0"
}
} >>43
日本のIT舐めすぎだろ
中小零細は確実にべた書きだわ
20〜30年同じソース使ってるし >>45
例文通り==trueなら問題ないがfalseだと値がnullだった場合に通らない 上司「コメントつけないと分からん!!!!!やり直し!!!!」
ワイ天才プログラマ「やれやれ」 >>31
isAho && hogehogeはどない? >>13
わからんのならいちいちかきこまんでええよ 社畜ども頑張って働いて資産家ワイを稼がせてくれよな トランケート文書くか🤣
まあ社内システムならこれでもええけどな >>48
soundhouse レベルの規模でもそうなんか ワイプログラマ、お前らが何話してるか全く分からない スクリプトをダイナミックに実行できることへの危機感が足らんやつおおいよな
log4jの開発者も多分そう >>65
2006年あたりやったかな
その頃まだサイトがクラシックASPやった >>57
こう言うの見て思うんやがJSからSQL投げることってあんのかな Usernameがエスケープされてる保証はあるんか? これワイSQLしらんから意味わからんかったんやがevalやってるってこと?
そりゃ危険やしあたおかやわ >>77
GかJか忘れたけどほぼ毎日SE部立つしな
在宅民そんなに多いんか? >>74
expressとかバックエンドのフレームワークあるしやるんやないの
知らんけど >>68
いいたい意味はわかるけど
スクリプトはダイナミックに実行するもんですよ SQL直書きなら最低でもプレースホルダ使うことは覚えてほしい >>74
firestoreならフロントから操作することあるね
けど権限周りを整備してないとやられる こういうの見るとなんか昭和の話してるって感じはする 馬鹿に生SQL触らせるの禁止にする法律作って欲しい ITエンジニア6年やってるけどソース上にSQL書かないってあるん?使ったことないんやがDBサーバにストアドプロシージャ登録するとかが普通なんか? >>52
なにが悪いん?
世の中の言語がそんなに型に厳密だと思ってんの?
c言語のif文の挙動知らなさそう >>87
Javaだとプリミティブ型ならnull入らんしな
>>31はそういうこと言ってるんじゃないと思うが >>74
可能だけどそういう事やる層はORM使うからクエリ書いたりはしない
クエリを直で書くのはMVVM気にしてる人達とかバッチ処理とかがほとんどじゃ無いかな >>31
これ言いたいのって if(isAho)って書けって事じゃねえの? >>90
javaだったらハイバーネートとかc#だったらエンティティフレームワークとか使うんちゃうか 昨日SIerのグループ面接受けて敗北してきたわ
逆質問全部先にやられた😭 ■ このスレッドは過去ログ倉庫に格納されています