或许是我太孤陋寡闻 昨天跟朋友闲聊才知道这地方
http://www.wooyun.org/
里面看到很多台湾的网站有 SQL Injection 的问题
小弟想说这不是很常见的资安常识吗！？
根据我工作的经验 可以归纳出原因整理如下
1. Legacy System
2. 便宜行事 组 SQL 字串比较直觉 也没有验证资料
3. 对 Framework 不熟 误用
4. 资安常识不足
不知道版上的各位强者大大们 怎么看这件事情
谢谢

我觉得2最多XD

PM: SQL 查询改几个字就好了吧, 下班前记得 commit

发案人没要求阿 $_$

没有漏洞扫描的检核机制吧

大部份台商只会用低薪聘猴子，做出来的品质能好到哪

就赶着上线, 该做的安全测试都没做

刚出校门的 几个会去注意资安问题 程式能动能交差就好

除非自己组sql，不然很多framework都帮你做掉了吧

资安的概念应该和if then或for loop一起教

会发生的原因最主要应该是该单位主管没有sense然后公司条件差 只能找刚毕业的..这种问题就很容易发生

公司没买弱扫工具或是工具太旧扫不出来

1,2,4都很多吧

个人看法比较负面.3和4才是主因...与其说是训练的问题 不如说这是业界不够成熟就能赚钱的问题(赚钱门槛太低 = =|||)应该说 "在技术上"的赚钱门槛远不及其他项目...

你觉得领22K 28K的需要搞资安吗应该说 你真的以为台湾公司有QA吗...

时程与成本问题....顾客就是这么快要你没交差就是违约

专案的目标就是验收.压榨久了,能动就是好code.

没sense的老一辈主管还真不少，尤其接案公司速度功能导向，没把资安部分放验收条件。