ワイ天才プログラマ、何故かこのコード書いただけで上司にブチ切れられる

**風吹けば名無し** · 2022/04/22(金) 11:02:55.55

function search_user(userName) {
return db.all(
'select * from user where user_name=' + userName）
}

意味わからん

**風吹けば名無し** · 2022/04/22(金) 11:03:58.45

ワイもわからん

**風吹けば名無し** · 2022/04/22(金) 11:04:16.85

ワイも！

**風吹けば名無し** · 2022/04/22(金) 11:04:57.84

要件次第やろそんなの

**風吹けば名無し** · 2022/04/22(金) 11:05:08.31

同じテーブルに平文でパスワード入れてそう

**風吹けば名無し** · 2022/04/22(金) 11:05:11.10

SQLインジェクション定期

**風吹けば名無し** · 2022/04/22(金) 11:05:48.78

クロスサイトスクリプティングされそう

**風吹けば名無し** · 2022/04/22(金) 11:05:50.52

最近はクロームでワンボタンで出てくるからええよな

**風吹けば名無し** · 2022/04/22(金) 11:06:08.93

SQLインジェクションの教科書サンクス

**風吹けば名無し** · 2022/04/22(金) 11:06:30.08

草

**風吹けば名無し** · 2022/04/22(金) 11:06:35.33

何回も立てるな

**風吹けば名無し** · 2022/04/22(金) 11:06:55.19

ワンピースで例えてくれ

**風吹けば名無し** · 2022/04/22(金) 11:07:07.17

プログラマとSEの違いすら分からん

**風吹けば名無し** · 2022/04/22(金) 11:07:12.97

yusuke; truncate table userさんが登録してくるから

**風吹けば名無し** · 2022/04/22(金) 11:07:14.47

ガバガバ助かる

**風吹けば名無し** · 2022/04/22(金) 11:07:48.36

トクマル本読んで出直せ

**風吹けば名無し** · 2022/04/22(金) 11:07:53.92

同じコード何回かくんや

**風吹けば名無し** · 2022/04/22(金) 11:07:56.11

プレースホルダ定期

**風吹けば名無し** · 2022/04/22(金) 11:08:13.38

or ‘A’=‘A’定期

**風吹けば名無し** · 2022/04/22(金) 11:08:35.60

ぼく「ユーザ名は"Alice or A='A'"と…」

**風吹けば名無し** · 2022/04/22(金) 11:09:40.52

userNameは完璧にエスケープされてるものとする

**風吹けば名無し** · 2022/04/22(金) 11:09:43.40

スネークケースとキャメルケースが混在してるのも地味に気になる

**風吹けば名無し** · 2022/04/22(金) 11:10:56.29

駆け出しエンジニア()が公開してるガバガバセキュリティアプリを潰す仕事をしたい

**風吹けば名無し** · 2022/04/22(金) 11:10:57.80

これなんの言語？

**風吹けば名無し** · 2022/04/22(金) 11:11:17.38

ORMマッパーとか使わないの

2022/04/22(金) 11:11:58.27

アッフィッフィー

**風吹けば名無し** · 2022/04/22(金) 11:12:10.83

むしろPGの仕事はじめたてのころFW側でエスケープされてるの知らなくて
イッチみたいなコード見てこれおかしいやろと思ったわ

**風吹けば名無し** · 2022/04/22(金) 11:12:15.95

>>23
こういう駆け出しエンジニア見下すやつってすぐに駆け出しエンジニアに追い抜かれそう

**風吹けば名無し** · 2022/04/22(金) 11:12:23.49

初めてphpやった時おんなじ事やったわ

**風吹けば名無し** · 2022/04/22(金) 11:13:24.19

あーなるほどな、これは怒られてもしゃーないわ
皆もそう思うやろ？皆からあかん箇所言うたれw

**風吹けば名無し** · 2022/04/22(金) 11:14:05.87

駆け出しエンジニアのコードあるある
if (isAho == true)

**風吹けば名無し** · 2022/04/22(金) 11:14:35.86

>>28
駆け出しエンジニアさんこんにちは🤗

**風吹けば名無し** · 2022/04/22(金) 11:15:18.78

>>31
それは駆け出す事も出来てないんよ

**風吹けば名無し** · 2022/04/22(金) 11:15:25.63

ワイ無能、どこがダメなのかわからない

**風吹けば名無し** · 2022/04/22(金) 11:16:09.62

>>33
いやこれはさすがに単純すぎるけど似たような条件文よく見るよ

**風吹けば名無し** · 2022/04/22(金) 11:16:36.58

>>34
直接入力じゃなけりゃ別に問題ない

**風吹けば名無し** · 2022/04/22(金) 11:17:04.14

>>31
これ言うほど悪いか？
ちょっと余計なだけで処理的には変わらんやろ

**風吹けば名無し** · 2022/04/22(金) 11:17:39.18

>>32
駆け出しエンジニア(笑)以下のエンジニアさん……w

2022/04/22(金) 11:18:03.85

名前から紛らわしいなあしっかりせいや無能アフィクソ

**風吹けば名無し** · 2022/04/22(金) 11:18:22.89

無駄なことやっとんな...
まあ動くからエエか...

**風吹けば名無し** · 2022/04/22(金) 11:19:35.21

select ＊はやめろちゃんとカラム指定しろ
後with (nolock)つけろ

**風吹けば名無し** · 2022/04/22(金) 11:19:44.38

上司有能やん
ワイ社では平気な顔してこのレベルで業務アプリ作ってるわ
いまだにVB.netとか使ってるしさっさと潰れてほしい

**風吹けば名無し** · 2022/04/22(金) 11:20:42.68

いまだにこうやってベタでSQL文プログラムの中に書いてるところなんかあんの？

**風吹けば名無し** · 2022/04/22(金) 11:20:42.78

世の中の訳分からん何年もメンテされていないような零細ECサイトのバックエンドはこれに毛が生えたレベルの実装ゴロゴロあるからすぐにやられる

**風吹けば名無し** · 2022/04/22(金) 11:21:13.62

>>31
何が悪いん？ちな新米

**風吹けば名無し** · 2022/04/22(金) 11:21:26.26

>>34
この引数userNameにフォームから直接入力された値が入ってくる場合、

「taro; truncate table user;」さんを検索しようとするとテーブルの中身全部削除される

**風吹けば名無し** · 2022/04/22(金) 11:22:19.12

アホ「パスワード変更メールの送信先アドレスも設定できるようにしとこ！」

**風吹けば名無し** · 2022/04/22(金) 11:22:34.28

>>44
sound houseとかそうやったな
SQLインジェクションで顧客情報抜かれて大惨事やった

**風吹けば名無し** · 2022/04/22(金) 11:22:42.91

これがダメならどうやればええんや？これしかないやろ

**風吹けば名無し** · 2022/04/22(金) 11:23:29.75

これなにがあかんの？

フロント
user = axios.get('/user/1')
<div>{user.name}</div>

DB

{
"user": {
"id": 1,
"name": "shiota",
"email": "shiota@example.com",
"last_access_ip": "123.456.789.0"
}
}

**風吹けば名無し** · 2022/04/22(金) 11:23:35.52

>>43
日本のIT舐めすぎだろ
中小零細は確実にべた書きだわ
20～30年同じソース使ってるし

**風吹けば名無し** · 2022/04/22(金) 11:23:49.77

>>45
例文通り==trueなら問題ないがfalseだと値がnullだった場合に通らない

**風吹けば名無し** · 2022/04/22(金) 11:24:01.63

>>49

if (isAho)

だけでええ

**風吹けば名無し** · 2022/04/22(金) 11:25:47.98

>>53
文字判定なんだよなぁ

**風吹けば名無し** · 2022/04/22(金) 11:26:11.41

上司「コメントつけないと分からん！！！！！やり直し！！！！」
ワイ天才プログラマ「やれやれ」

**風吹けば名無し** · 2022/04/22(金) 11:26:20.90

>>14
そういう事か

**風吹けば名無し** · 2022/04/22(金) 11:26:43.62

初心者共はこのコードを参考にしろ
https://i.imgur.com/4wuLkIp.jpg

**風吹けば名無し** · 2022/04/22(金) 11:26:45.12

SQLやね

**風吹けば名無し** · 2022/04/22(金) 11:26:53.37

マジでたまにいるから恐ろしい

**風吹けば名無し** · 2022/04/22(金) 11:27:17.44

>>31
isAho && hogehogeはどない？

2022/04/22(金) 11:27:24.76

>>13
わからんのならいちいちかきこまんでええよ

**風吹けば名無し** · 2022/04/22(金) 11:27:57.40

社畜ども頑張って働いて資産家ワイを稼がせてくれよな

**風吹けば名無し** · 2022/04/22(金) 11:28:34.07

トランケート文書くか🤣

まあ社内システムならこれでもええけどな

**風吹けば名無し** · 2022/04/22(金) 11:28:43.18

>>54
boolやないんか草

**風吹けば名無し** · 2022/04/22(金) 11:29:32.96

>>48
soundhouse レベルの規模でもそうなんか

**風吹けば名無し** · 2022/04/22(金) 11:29:43.03

>>60
isAho = true

**風吹けば名無し** · 2022/04/22(金) 11:30:57.42

ワイプログラマ、お前らが何話してるか全く分からない

**風吹けば名無し** · 2022/04/22(金) 11:32:16.81

スクリプトをダイナミックに実行できることへの危機感が足らんやつおおいよな
log4jの開発者も多分そう

**風吹けば名無し** · 2022/04/22(金) 11:32:21.91

これちなみにどうやって回避するんや？

**風吹けば名無し** · 2022/04/22(金) 11:32:31.22

何がおかしいか真面目に教えてくれ

**風吹けば名無し** · 2022/04/22(金) 11:33:08.01

>>43
あるある

**風吹けば名無し** · 2022/04/22(金) 11:33:13.57

フレームワーク使わないのもアホ

**風吹けば名無し** · 2022/04/22(金) 11:33:17.14

>>65
2006年あたりやったかな
その頃まだサイトがクラシックASPやった

**風吹けば名無し** · 2022/04/22(金) 11:33:17.99

>>57
こう言うの見て思うんやがJSからSQL投げることってあんのかな

**風吹けば名無し** · 2022/04/22(金) 11:34:53.46

引数をエスケープすれば余裕で回避できる

**風吹けば名無し** · 2022/04/22(金) 11:35:00.97

う～んわからん

**風吹けば名無し** · 2022/04/22(金) 11:35:35.86

SEの話になると途端に饒舌になるニキ大量におるな

**風吹けば名無し** · 2022/04/22(金) 11:36:03.44

Usernameがエスケープされてる保証はあるんか？

**風吹けば名無し** · 2022/04/22(金) 11:36:39.52

これワイSQLしらんから意味わからんかったんやがevalやってるってこと？
そりゃ危険やしあたおかやわ

**風吹けば名無し** · 2022/04/22(金) 11:37:02.99

ワイのユーザー名はOR TRUEや

**風吹けば名無し** · 2022/04/22(金) 11:37:22.70

>>77
GかJか忘れたけどほぼ毎日SE部立つしな
在宅民そんなに多いんか？

**風吹けば名無し** · 2022/04/22(金) 11:37:30.53

>>74
expressとかバックエンドのフレームワークあるしやるんやないの
知らんけど

**風吹けば名無し** · 2022/04/22(金) 11:38:15.21

>>68
いいたい意味はわかるけど
スクリプトはダイナミックに実行するもんですよ

**風吹けば名無し** · 2022/04/22(金) 11:38:19.03

SQL直書きなら最低でもプレースホルダ使うことは覚えてほしい

**風吹けば名無し** · 2022/04/22(金) 11:38:51.68

>>74
firestoreならフロントから操作することあるね
けど権限周りを整備してないとやられる

**風吹けば名無し** · 2022/04/22(金) 11:39:03.22

すまんがエスケープってなにンゴ？

**風吹けば名無し** · 2022/04/22(金) 11:39:31.97

>>52
nullのある言語かによるやん

**風吹けば名無し** · 2022/04/22(金) 11:39:50.44

こういうの見るとなんか昭和の話してるって感じはする

**風吹けば名無し** · 2022/04/22(金) 11:41:15.67

馬鹿に生SQL触らせるの禁止にする法律作って欲しい

**風吹けば名無し** · 2022/04/22(金) 11:41:26.28

ITエンジニア6年やってるけどソース上にSQL書かないってあるん？使ったことないんやがDBサーバにストアドプロシージャ登録するとかが普通なんか？

**風吹けば名無し** · 2022/04/22(金) 11:41:44.07

>>52
なにが悪いん？
世の中の言語がそんなに型に厳密だと思ってんの？
c言語のif文の挙動知らなさそう

**風吹けば名無し** · 2022/04/22(金) 11:42:17.04

>>87
Javaだとプリミティブ型ならnull入らんしな
>>31はそういうこと言ってるんじゃないと思うが

**風吹けば名無し** · 2022/04/22(金) 11:42:29.99

>>74
可能だけどそういう事やる層はORM使うからクエリ書いたりはしない
クエリを直で書くのはMVVM気にしてる人達とかバッチ処理とかがほとんどじゃ無いかな

**風吹けば名無し** · 2022/04/22(金) 11:43:17.43

>>90
ORマッパー使ったほうがええんちゃう

**風吹けば名無し** · 2022/04/22(金) 11:43:25.99

>>90
ORマッパー使うんやろ

**風吹けば名無し** · 2022/04/22(金) 11:43:56.02

>>31
これ言いたいのって if(isAho)って書けって事じゃねえの？

**風吹けば名無し** · 2022/04/22(金) 11:44:25.21

>>90
javaだったらハイバーネートとかc#だったらエンティティフレームワークとか使うんちゃうか

**風吹けば名無し** · 2022/04/22(金) 11:44:26.42

昨日SIerのグループ面接受けて敗北してきたわ
逆質問全部先にやられた😭

**風吹けば名無し** · 2022/04/22(金) 11:44:49.86

>>94
あーそういう話か
サンガツや

**風吹けば名無し** · 2022/04/22(金) 11:44:55.83

バリデーションは別でやるやろ

**風吹けば名無し** · 2022/04/22(金) 11:45:00.46

>>1
改行の位置が気に入らない