PHP fejlesztő?

Írta: tcz on August 15, 2009
Uncategorized

programmerHamarosan munkahelyet váltok, és ezzel összefüggésben keressük az utódomat a cégnél. A fejlesztési munkák nagy része LAMP alapon történne, plusz el kell látni némi sitebuilder munkakört is.

Az állás “PHP fejlesztő” címmel lett meghirdetve, és viszonylag sokan jelentkeztek is az alábbi kulcsszavakkal a CV-jükben: PHP, MySQL, HTML, CSS, JavaScript. Be is hívtunk néhány szimpatikusnak látszó úriembert (tényleg, lányok, miért nem tanultok meg programozni???), és összeállítottam egy rövid tesztet, a szokásos IQ teszt mellé, hogy gyorsan le tudjuk mérni a kompetenciát.

Az egyik kérdés így hangzott: “Mi az SQL injection? Mi a session fixation?”

Nagyon egyszerű, kíváncsi voltam, hogy az illető ismeri-e ezt a két gyakori webes sebezhetőséget, és képes-e kivédeni ezeket a munkája során. A jelentkezők közül mindegyik azt állította magáról, hogy “PHP fejlesztő”, ennek ellenére a 80%-uk nem tudta megmondani, hogy mi az az SQL injection, a session fixationt pedig – nem vicc – senki nem ismerte.

Volt néhány delikvens, aki a szóösszetétel értelmezésével próbált rátapintani, hogy mi lehet ez, de gyakorlatileg egyikük sem ismerte, nem is beszélve a kivédés módjairól.

Nem szeretnék autofellációt elkövetni ezzel a poszttal, és a demagógiát is megvetem, de könyörgöm, ne nevezze már magát PHP fejlesztőnek az, akinek ezek a kifejezések semmit nem mondanak. Így védjük magunkat a weben? Ezekkel a “szakértőkkel”?

A többi kérdést ki sem vesézem, pedig azoknál is voltak említésre méltó hiányosságok.

Azokhoz az emberekhez szólok, akik magukra ismertek a fentebbi bekezdésekben. Tanuljatok! Képezzétek magatokat! Ha másban nem is, legalább security témakörben! Annyi jó anyag érhető el a hálón, kérésre én is tudok küldeni jópár írást.  A PHP egy remek nyelv, és szükség is van jó fejlesztőkre, akik értenek hozzá. De olyanokra, akik csak azt hiszik, hogy értenek hozzá, olyanokra egyszerűen nincs.

PS: Elhatároztam, hogy a következő hónapokban összefoglalok néhány PHP alapvetést, melyek untatni fogják az “öreg rókákat”, de mindneképpen hasznosak az újoncoknak. Az egész fejlesztő társadalom felelőssége, hogy jól adja át a tudását.

18 hozzászólás to PHP fejlesztő?

Polgár Zoltán
2009. 08. 15.

“PS:”

Alig várom :D

“kérésre én is tudok küldeni jópár írást”

ha ráérsz, és nem okoz problémát, tudnál nekem küldeni? A teszt is érdekelne ,hogy mire számítsak a jövőben :)

kow
2009. 08. 15.

Lehet, hogy egyszerűbb lett volna, session lopást írni.

rrd
2009. 08. 15.

Lehet, hogy csak session hijacking-ként ismerték és nem fixation-ként :)

tcz
2009. 08. 15.

@kow: Bocs, a kommentedet véletlen töröltem, mert rossz gombra tappantottam szifonon. Mail alapján visszaállítottam.

Egyébként egy olyan rendszernek, mint a WordPress illene konzisztensnek lennie annyira, hogy

1. a törölt komment ne törlődjön, csak jelölődjön meg, urambocsá egyetlen DELETE sql parancs se hajtódhasson végre semmilyen körülmények között.

2. a posztok táblájában a bejegyzések száma triggerekkel változzon.

@rdd, @kow: Sajnos nincs igazatok a szóhasználat tekintetében. Session lopás illetve session hijacking ugyan egymással azonos fogalmak, de nem azonosak a session fixation-nel.

A session fixation a session hijacking egyik fajtája, amikor a támadó előre beállítja a session ID-t például URL-en keresztül. A session hijacking csak gyűjtőfogalom azokra az esetekre, amikor a támadó így vagy úgy hozzáfér a session-öd adataihoz.

Sessiont lopni lehet még pl XSS-sel, packet sniffinggel, vagy valamilyen egyéb módszerrel, ami lehet pl egy trójai is a gépeden.

Szóval a session fixation az session fixation és nem más, illene ismerni mindenkinek, és azt is, hogy hogyan védhetjük ki.

tcz
2009. 08. 15.

@Polgár Zoltán: küldtem ;)

norbijúzer
2009. 08. 15.

erről van szó (a PS-rész)! ne csak számonkérj, oktass iss!
én kiváncsiam várom!

(és nem vagyok php fejlesztő, csak egy időben annak készültem, csak aztán elkanyarodtam a pályától)

mp33portal
2009. 08. 15.

A kérdésre ezt mondtam volna:
Injection?
-Ja, szoktam lőni.
Fixation?
-Én csak az orális fixationt ismerem. :D

DuDe
2009. 08. 16.

az elhatározásod dícséretes, figyelünk :)

zso
2009. 08. 19.

“kérésre én is tudok küldeni jópár írást”

Ha tudsz küldeni, akkor azt megköszönném. És a tesztkérdések is érdekelnének, ha nem gond. Köszönöm!

mad
2009. 08. 23.

Milyen jó, hogy ismertem ezeket a fogalmakat. Pedig nem is vagyok PHP fejlesztő :) . Sőt még érettségizni is csak jövőre fogok…

Bővíz László - JUEX
2009. 08. 24.

Engem igazából az érdekelne, hogy hová mész.

tcz
2009. 08. 24.

Privátban válaszoltam :-)

saxus
2009. 08. 24.

Ezért szoktam mondogatni, hogy “Magyarország egymillió PHP kóder hazája”. PHP itthon olyan, mint a foci meg a politika, mindenki “ért” hozzá.

Achozion
2009. 09. 14.

“kérésre én is tudok küldeni jópár írást”

Én is kíváncsian várom, és a tesztkérdések is érdekelnének.

Köszi

Lam
2009. 11. 09.

tcz: Megtennéd, hogy nekem is elküldöd amit a többieknek? A teszt is érdekelne! Köszi! :)

Ash
2009. 11. 18.

tcz: Engem is érdekelne a teszt, hogy tudjam mire számíthatok a jövőben. Köszönöm. Így tovább :)

alexs
2009. 11. 21.

Engem érdekelne a biztonságosabb php kód írása. Bár józan paraszti ésszel ki lehet találni mi lehet az a session fixation, de bevallom én sem tudom hogy lehet kivédeni. Angolul persze olvasgatok ilyen témákat (az SQL injekciót is így tanultam meg mi a túró), de még sok minden nem vili. Jó lenne magyarul is olvasni ilyen témákat és főleg szakiktól! Akik már túl vannak a “helló világ”-on!

alexs
2009. 11. 21.

Ja és a teszt engem is érdekelne :)
Csak hogy még mennyi mindent nem tudok, kíváncsi lennék rá! :)

Szólj hozzá!

WP_Big_City