先简单自我介绍一下 小弟自学+上课 学了一段时间的Java(大约三年) 偶尔也会上github对
开源专案发一些PR 也会看一些资安 资讯方面的相关议题 因为住在蛮偏远的地区 所以直到
最近才有找软件方面的工作

目前刚录取一份接案公司的工作 主要语言是php

今天整天几乎都在看code
但是跟github上开源的code比起来真的是又脏又乱

变量命名没照规则 而且还用老旧的php5 例如2023年的案子里面还有deprecated的meth
od

更别说程式码感觉都是贴来贴去的 拿以前的来贴改
档案名称 资料夹名称也是都奇奇怪怪 整个专案里面一大堆无关的code

看code看到后面越来越不对劲 一个简单的or 1=1就看出来根本没防sql注入

下班后用某工具对公司的一个案子试了一下 直接把所有db跟table还有资料直接捞出来
重点是全部案子 包括公司的一些资讯都在同一个server上可以直接捞

请问我该回报吗 回报了不知道会不会被黑…(虽然我手上还有另一份offer

第一次在本版po文请见谅

如果另一个 offer 能接受不如就直接闪人吧

回报为啥会被黑，语气正常的话应该大家都很愿意学习吧

这些改善的工作就交给你了

赶快跑啊，还回报？

好典型新手的想法 开源 追求code完美简洁blablabla

快逃

都是接案公司了 当deadline逼近 谁还管样样都完美啊

老板请你来干嘛的?有问题不回报，上PTT发问，笑死

能赶快交付 拿到钱比较重要 你该了解当初这样做的事由

先跟你上头讨论吧!怎么会是先发文跟乡民讨论 笑死

赶快换一家有点水准的公司

最好用pdo传参 php官方文档很好 写php最惬意的就是边看文档写一写发现这样就写好了文档也有包 当然乱写的肯定不会这样做简洁与安全和扩充性不是冲突的 我写的是这样 XD所以都不想用框架 什么高并发原生其实也都可以解决 php本身就是对c语言的封装 会写了对了解c有帮助其它的语言都是研究个老半天 然后例如在jdk里有些细节 而且更新php版本你应该考虑 如果你是oop狂人

这种等级的技术债还是快逃吧，有碍成长，除非钱多真香…追求干净的程式跟新手老手没关系，支持原po保持初衷，但也要考量各种外力影响，避免成为武痴至于要不要回报…很大程度取决于你们公司风气，建议你多观察和试探前辈跟同事的反应

言归正传 回报要重构

有可能大家都心里有数但就是嫌麻烦而已。嗯不是每个人都觉得进步是好事…

用vi/vim重构 不行就闪现在php xdebug断点追纵也很方便

快跑 这问题根本不该发生

某 Mutibil 这完全不是追求完美的问题吧事情乱做也可以被你美化成"当初这样做的事由"到底有没有底线啊你这样乱搞用的理由是"能赶快交付"，我就问到底是乱搞还是把事情做对能比较快交出能用的东西？当然如果你的程度就是只能乱搞，没日没夜的乱搞花一堆不必要的时间绕不必要的圈圈解不必要的 bug 最后总算生出一个勉强能用的东西你大概会很自豪自己在 deadline 前生出东西吧然后再信心爆棚来嘴其他人是追求完美？

原po新手不要听5楼在哪边乱讲该做的事情没做好，deadline只是能力不足的借口罢了

如果是我，会多想：怎么修，谁修，如果自己修有什么后果？对自己与公司有帮助吗？职场报漏洞抓别人毛病真的很简单，有没有价值比较重要。

web仔日常 bug就是留给发现的你来修

台湾接案公司别肖想code品质有多好，要追求品质就不该继续待了，赶紧跳去别家正常些的公司吧。

回报前，先确认自己有没有解法，又不会造成影响

没有deadline问题的是过太爽还是运气太好没遇过 不要用做自家产品的思维去看接案好吗

推DrTech, 先思考做这件事如何让它有价值

快逃写php对 c没帮助，你又不是自己写扩展，没意义。

快逃

deadline跟你为了快速乱写有什么交集吗？ 有点水准的话根本不会那样写啊就算为了快 也不会那样写 难道你都hardcode吗 为了赶快交出去

当deadline突然浮动到剩下1%时间，的确会有交集，我觉得接案或产品都可能出现这种情况啦，线上都爆炸了，先hardcode止血再说，问题在于事后有没有去检讨调整，有时候调整期也不是一两天的规划，如果要几周甚至一个月，过程中来了个新人看到就会认为这什么粪code，有时候粪code是有他的前因后果

既然发现漏洞那就交给你处理了：) 你说原本的专案进度 当然照旧阿 能者多劳 公司不会亏待你 年底我试着帮你跟上面谈谈

Mutibil的想法我这种写code新手完全无法接受

这种基本的漏洞会存在这么久 劝你快逃ㄚㄚ

这种漏洞有在接案做过的应该都见怪不怪了没有才值得惊讶理想不存在现实里 不然就像上面说的能者多劳 多做点

hardcode和injection是两回事吧，injection完全是习惯不好hardcode顶多是要改时麻烦点，一种技术债。SQL injection是不满足最基本的资安规格，而且常见的直接组字串不用参数化的写法写起来就没有比较快啊这种通常都是从来没学过正确写法的半路出家码农写的，不要用什么时程压力去帮基本功不及格的人开脱

可以把所有db都dump出来这说不定早被其他人dump过了。现在你回报了公司才发现出歹事了说不定还变成头号嫌疑犯。我想这才是原po最担心的事。。。

我针对hardcode，说实在补习班也会教injection，还这样写单纯就，程度差

现在还有 sql injection 这种古老到不行的漏洞？！

同意楼上 我以为只在教科书范例上看过ww

回报啊 要改？没问题 请给时间 不改？那就不是我的问题

只能说这些都是技术债，现在新的框架用ORM早就没那问题了

别怀疑 多到不行 常接案的人就懂

自学可以到开源专案发 PR 、还能随便抓出公司专案漏洞感觉原 po 是有天份的快换家像样点的公司吧

一个人是救不了一间公司的，大家都烂你是想要改善什么？

一定要回报

还是要回报，然后看看公司的处理方法，就可以决定是不是该逃了。

不要听五楼在乱讲，正常公司根本不会犯这么基础的错误

接案公司没人在管维护性的 你是要clean code还是要money

接案就没救了，反正你也待不久的，别回报了

感谢大家的回复 目前有想到一些补洞的方式 看到db里面存密码是明文的方式没加密 真的大开眼界了…主管今天不在之后再想办法回报

要马不报 要马离职的时候报现在报就是你负责修接案那种责任外包的制度只关心钱有没有进来待久了只会限制自己的发展

‘这么行喔？那都给你做好啦’

高雄公司？ 嘻嘻 专案外部可连吗？ 不可的话你在担心什么你是专案维护者吗 职场伦理政治大于程式合理性

原PO 你想一下 上面留言的 就是你公司的前辈类型居多

臭老人真多XD

现实是菜逼巴以为是自己先发现，其他老人都没发现，然后回报给主管被主管打枪，然后不爽离职结局

如果密码都敢明码存 那真的可以理解sql注入会发生其实呀 这些烂code应该不少是老板创业的时候自己干出来既然都是接案公司,你花时间去维护已经收完尾款的专案真的是有点浪费时间,甚至甲方都不存在了或没在用了接案公司用人力评估新案 才有办法赚一点微薄利润不是自己的事业都随便做 这就是接案公司的态度 你太认真老板会觉得 你有时间不去做新案 在搞款项都收完的要干嘛

笑死 在那边嘴乱讲 依据？ 为何要用一般公司的角度去看接案公司 更何况是更小规模的接案公司 我没说sql injection这种错误是正常去合理化 但人流动率那么高 有时还要外包找救火 code review是能做到多确实？要求品质？ deadline压力下 团队管理人救火都来不及了 能花多少时间团队管理 专案迭代那么快与紧促 什么都可能发生啊 但都会有它发生的缘由 不要用当下的认知去看待所有逻辑 觉得都好粪 只能尽可能做到别让纰漏常态化 站在不同角度去看待接案性质 本就是件很荒谬的事情

你觉得只有自己知道吗？

如果你要让公司面对，你不妨用外面电脑去搞一下

别再为能力不足找借口了.干接案屁事

接案有其限制没错，但不是这么无限上纲的，原po提的疑虑也很合理，结果有人在那边嘴新手想法的，被反驳一下也是刚好而已

要说跟接案没关系也对啦 跟付钱的人关系比较大一堆案子都是旧框架也是有一堆资安问题 你改吗

XDDDDDDDDD

这种问题也能问，聘你做什么…

你发现了 你来改 加油！

世界很现实 如果是正在run的专案要改收完尾款的code没有改的必要

不要听上面讲的什么用外面的电脑去搞一下之类的话就算公司资安做很烂 你去攻击他还是会吃刑责跟官司不要没事找事做 上面推文的人不会帮你付和解金

可以改啊，然后各种你想不到的地方炸裂看你怎么收这种烂code通常会有各种神奇的用法，祖传秘笈SQL injection你有没想过可能某个不知道的专案靠它运作所以为什么越资深的人做这种事情做越慢，因为谨慎好的架构是很重要，但对小公司来讲，获利更重要资安漏洞，客户验收有验过吗？有签赔偿条款吗

接案公司讲了应该也没用,因为没法跟客户收钱

前几篇还有人推接案公司，真的是害人。除非能力很强或是真的没门路才去试试看虽然已现在的状况来看大公司也有机会，但是机率相对小至少有资安团队会干你没说接案公司不好，但是不推荐想走正路的新手会非常痛，然后极小的机率才有机会屠龙

对写c有帮助 基本函数名很多相同 一些用法也类似写java就很不一样 目前没有见过框架跟系统一致性强的 都是乱封装乱写 凡事都是api解很可笑

….语言写久写多，会发现好用的function 都一样。不是跟c 很像而是中高阶语言都这样

当然公司的可以不用那么较真 XD 之前写的也没有这样很多都很不一样 去比就知道

…写久就知道了，另外真的帮助不大。因为跨语言的重点不在这边另外语法糖各语言不同，但是function 都差不多。C 不难写….? 认真？是从那个架构上写？

可以当入门砖这就够了 php还可以写更好c难的是那些底层的实现 本身没有想像中的难 也可以很动态

…….

就是不管什么语言你乱写都很难了解与维护 就像本文

块陶

跟上面提看要不要开ticket改善啊

推ssccg

其实不太意外 曾经驻点看过银行系统的code 也是惨不忍睹

上报吧，不过我猜大概早就知道了，只是没必要修而已毕竟没钱

不建议改到时爆炸怎么办薪水不高直接跑了吧

这篇是照妖镜吗？上面一堆回复真是大开眼界，接案公司的素质都是这样吗？

有这种疑问是不是对市场不够了解 还是活在理想中光是一个http改https就可能让系统挂掉 谁要承担责任

恩 ....职场菜鸟

接案公司？ 看过写内部服务的程式吗

甲方自己内部的技术债才精彩，乙方验收一堆报告要交，原码扫描弱点扫描是基本的，现在连用的第三方套件1个月没更新或是版本不是最新版都要写原因。

你该不会以为只有你有发现吗？

觉得公司其他人都知道，只是没人要去理而已。如果原PO很在意程式码品质的话建议换家公司。

干嘛回报 回报了还要修 快逃啊身为软件人还是要有基本的职业道德 deadline不是借口

who car 直接快逃才是重点

发文者看来都没有任何回应 不知道是在拯救世界的路上，还是已经被这个世界背叛…

回楼上 最近家人有东西需要帮忙 所以比较少看…也很感谢大家回复 因为是跨领域转职第一次看到这个问题觉得很神奇 所以就上来问问了目前也有跟主管反应 但好像没有要修或者要动的意思 看来只能先这样了…

回楼上，你是对的，但现实还是要看清，如果案子是转到自身维护建议慢慢修正，如果你只是瞄到别人案子，还是当个安静的人

我的RD主管写的程式也会有这种问题..讲白了没有codereview，产品卖不了多少的公司，根本没人在乎这个问题，他们只在乎你在时间内有更多的产出还有配合客户一改再改

可以回报啊 刚好试试他们是怎么对待新人和这类问题如果你没讲，那事情也许永远没机会改善另外，其他乱七八糟、脏乱等问题是真实世界常有的看乱的程度和能处理的资源多寡，有时只好先放著不管

推原po的回应

正常也不会要你改，没收入又要大改，又有可能有新的错误，只能后来的案子多注意一点吧

宁愿多加班不拿钱也要写clean code. deadline可以延期顶多赔钱

惦惦or换公司

我的话会先私下问前辈 不会直接往上捅 那当然如果得到的结论是摆烂的话我会考虑开始找下一份