ワイ天才プログラマ、何故かこのコード書いただけで上司にブチ切れられる

1 : 2022/04/22(金) 11:02:55.55 ID:3itYkwnr0: function search_user(userName) {
return db.all(
'select * from user where user_name=' + userName）
}

意味わからん
2 : 2022/04/22(金) 11:03:58.45 ID:9BxcKr0w0: ワイもわからん
3 : 2022/04/22(金) 11:04:16.85 ID:Ckm8rv2S0: ワイも！
4 : 2022/04/22(金) 11:04:57.84 ID:/19SBCvu0: 要件次第やろそんなの
5 : 2022/04/22(金) 11:05:08.31 ID:Nu/8S5js0: 同じテーブルに平文でパスワード入れてそう
6 : 2022/04/22(金) 11:05:11.10 ID:CI0vJJoM0: SQLインジェクション定期
7 : 2022/04/22(金) 11:05:48.78 ID:VB1LR8xRa: クロスサイトスクリプティングされそう
8 : 2022/04/22(金) 11:05:50.52 ID:6r+lT/750: 最近はクロームでワンボタンで出てくるからええよな
9 : 2022/04/22(金) 11:06:08.93 ID:DrTMB2jw0: SQLインジェクションの教科書サンクス
11 : 2022/04/22(金) 11:06:35.33 ID:eUiFyHna0: 何回も立てるな
12 : 2022/04/22(金) 11:06:55.19 ID:wM8m0U/D0: ワンピースで例えてくれ
13 : 2022/04/22(金) 11:07:07.17 ID:IuqEhLX60: プログラマとSEの違いすら分からん
61 : 2022/04/22(金) 11:27:24.76 ID:6lADMoTsa: >>13
わからんのならいちいちかきこまんでええよ
14 : 2022/04/22(金) 11:07:12.97 ID:S5M3mxhM0: yusuke; truncate table userさんが登録してくるから
56 : 2022/04/22(金) 11:26:20.90 ID:vfED1UeCH: >>14
そういう事か
15 : 2022/04/22(金) 11:07:14.47 ID:WXctdTxSa: ガバガバ助かる
16 : 2022/04/22(金) 11:07:48.36 ID:fekNWRrza: トクマル本読んで出直せ
17 : 2022/04/22(金) 11:07:53.92 ID:SfrBUnRo0: 同じコード何回かくんや
18 : 2022/04/22(金) 11:07:56.11 ID:ZdkLceXor: プレースホルダ定期
20 : 2022/04/22(金) 11:08:35.60 ID:Dy/1jwaQ0: ぼく「ユーザ名は"Alice or A='A'"と…」
21 : 2022/04/22(金) 11:09:40.52 ID:BCgZqnr40: userNameは完璧にエスケープされてるものとする
22 : 2022/04/22(金) 11:09:43.40 ID:sxy48GnR0: スネークケースとキャメルケースが混在してるのも地味に気になる
23 : 2022/04/22(金) 11:10:56.29 ID:yXoC3LvXM: 駆け出しエンジニア()が公開してるガバガバセキュリティアプリを潰す仕事をしたい
28 : 2022/04/22(金) 11:12:15.95 ID:FoGhd9nAM: >>23
こういう駆け出しエンジニア見下すやつってすぐに駆け出しエンジニアに追い抜かれそう
32 : 2022/04/22(金) 11:14:35.86 ID:wykrB/ygM: >>28
駆け出しエンジニアさんこんにちは🤗
38 : 2022/04/22(金) 11:17:39.18 ID:FoGhd9nAM: >>32
駆け出しエンジニア(笑)以下のエンジニアさん……w
24 : 2022/04/22(金) 11:10:57.80 ID:fekNWRrza: これなんの言語？
25 : 2022/04/22(金) 11:11:17.38 ID:KzPJIpXPd: ORMマッパーとか使わないの
27 : 2022/04/22(金) 11:12:10.83 ID:R9TpxT3J0: むしろPGの仕事はじめたてのころFW側でエスケープされてるの知らなくて
イッチみたいなコード見てこれおかしいやろと思ったわ
29 : 2022/04/22(金) 11:12:23.49 ID:1Ql4CXRr0: 初めてphpやった時おんなじ事やったわ
30 : 2022/04/22(金) 11:13:24.19 ID:sab0eIMs0: あーなるほどな、これは怒られてもしゃーないわ
皆もそう思うやろ？皆からあかん箇所言うたれw
31 : 2022/04/22(金) 11:14:05.87 ID:R9TpxT3J0: 駆け出しエンジニアのコードあるある
if (isAho == true)
33 : 2022/04/22(金) 11:15:18.78 ID:AzWNq8H90: >>31
それは駆け出す事も出来てないんよ
35 : 2022/04/22(金) 11:16:09.62 ID:R9TpxT3J0: >>33
いやこれはさすがに単純すぎるけど似たような条件文よく見るよ
37 : 2022/04/22(金) 11:17:04.14 ID:ZdkLceXor: >>31
これ言うほど悪いか？
ちょっと余計なだけで処理的には変わらんやろ
45 : 2022/04/22(金) 11:21:13.62 ID:byNbo8JB0: >>31
何が悪いん？ちな新米
52 : 2022/04/22(金) 11:23:49.77 ID:R9TpxT3J0: >>45
例文通り==trueなら問題ないがfalseだと値がnullだった場合に通らない
87 : 2022/04/22(金) 11:39:31.97 ID:wS9/RV3Zp: >>52
nullのある言語かによるやん
60 : 2022/04/22(金) 11:27:17.44 ID:/qO5pdPX0: >>31
isAho && hogehogeはどない？
34 : 2022/04/22(金) 11:15:25.63 ID:qy20Agf70: ワイ無能、どこがダメなのかわからない
36 : 2022/04/22(金) 11:16:36.58 ID:DBjBWRNSa: >>34
直接入力じゃなけりゃ別に問題ない
46 : 2022/04/22(金) 11:21:26.26 ID:S5M3mxhM0: >>34
この引数userNameにフォームから直接入力された値が入ってくる場合、

「taro; truncate table user;」さんを検索しようとするとテーブルの中身全部削除される
40 : 2022/04/22(金) 11:18:22.89 ID:Imgshyf+0: 無駄なことやっとんな…
まあ動くからエエか…
41 : 2022/04/22(金) 11:19:35.21 ID:VB1LR8xR0: select ＊はやめろちゃんとカラム指定しろ
後with (nolock)つけろ
42 : 2022/04/22(金) 11:19:44.38 ID:dqg+/LZ70: 上司有能やん
ワイ社では平気な顔してこのレベルで業務アプリ作ってるわ
いまだにVB.netとか使ってるしさっさと潰れてほしい
43 : 2022/04/22(金) 11:20:42.68 ID:CSoU9yMa0: いまだにこうやってベタでSQL文プログラムの中に書いてるところなんかあんの？
51 : 2022/04/22(金) 11:23:35.52 ID:dqg+/LZ70: >>43
日本のIT舐めすぎだろ
中小零細は確実にべた書きだわ
20～30年同じソース使ってるし
71 : 2022/04/22(金) 11:33:08.01 ID:Q0Ft5scEa: >>43
あるある
44 : 2022/04/22(金) 11:20:42.78 ID:tcCnAQM30: 世の中の訳分からん何年もメンテされていないような零細ECサイトのバックエンドはこれに毛が生えたレベルの実装ゴロゴロあるからすぐにやられる
48 : 2022/04/22(金) 11:22:34.28 ID:VB1LR8xR0: >>44
sound houseとかそうやったな
SQLインジェクションで顧客情報抜かれて大惨事やった
65 : 2022/04/22(金) 11:29:32.96 ID:ltrmMF3N0: >>48
soundhouse レベルの規模でもそうなんか
73 : 2022/04/22(金) 11:33:17.14 ID:VB1LR8xR0: >>65
2006年あたりやったかな
その頃まだサイトがクラシックASPやった
47 : 2022/04/22(金) 11:22:19.12 ID:R9TpxT3J0: アホ「パスワード変更メールの送信先アドレスも設定できるようにしとこ！」
49 : 2022/04/22(金) 11:22:42.91 ID:byNbo8JB0: これがダメならどうやればええんや？これしかないやろ
53 : 2022/04/22(金) 11:24:01.63 ID:VB1LR8xR0: >>49

if (isAho)

だけでええ
54 : 2022/04/22(金) 11:25:47.98 ID:dqg+/LZ70: >>53
文字判定なんだよなぁ
64 : 2022/04/22(金) 11:28:43.18 ID:VB1LR8xR0: >>54
boolやないんか草
55 : 2022/04/22(金) 11:26:11.41 ID:Y0Qdfx7H0: 上司「コメントつけないと分からん！！！！！やり直し！！！！」
ワイ天才プログラマ「やれやれ」
58 : 2022/04/22(金) 11:26:45.12 ID:Dkpy3A0L0: SQLやね
59 : 2022/04/22(金) 11:26:53.37 ID:ScV9Ozxg0: マジでたまにいるから恐ろしい
62 : 2022/04/22(金) 11:27:57.40 ID:jmWgmVsy0: 社畜ども頑張って働いて資産家ワイを稼がせてくれよな
63 : 2022/04/22(金) 11:28:34.07 ID:bOJrrbEsa: トランケート文書くか🤣

まあ社内システムならこれでもええけどな
67 : 2022/04/22(金) 11:30:57.42 ID:F0ffZyUe0: ワイプログラマ、お前らが何話してるか全く分からない
68 : 2022/04/22(金) 11:32:16.81 ID:R9TpxT3J0: スクリプトをダイナミックに実行できることへの危機感が足らんやつおおいよな
log4jの開発者も多分そう
83 : 2022/04/22(金) 11:38:15.21 ID:Ag1SG5SCr: >>68
いいたい意味はわかるけど
スクリプトはダイナミックに実行するもんですよ
69 : 2022/04/22(金) 11:32:21.91 ID:Dkpy3A0L0: これちなみにどうやって回避するんや？
70 : 2022/04/22(金) 11:32:31.22 ID:kR3eA1L8a: 何がおかしいか真面目に教えてくれ
72 : 2022/04/22(金) 11:33:13.57 ID:HXU8eY3Gd: フレームワーク使わないのもアホ
75 : 2022/04/22(金) 11:34:53.46 ID:R9TpxT3J0: 引数をエスケープすれば余裕で回避できる
76 : 2022/04/22(金) 11:35:00.97 ID:I4tbkIZna: う～んわからん
77 : 2022/04/22(金) 11:35:35.86 ID:mYGmzmazp: SEの話になると途端に饒舌になるニキ大量におるな
81 : 2022/04/22(金) 11:37:22.70 ID:Tz4nbct5p: >>77
GかJか忘れたけどほぼ毎日SE部立つしな
在宅民そんなに多いんか？
78 : 2022/04/22(金) 11:36:03.44 ID:JsS9NKzN0: Usernameがエスケープされてる保証はあるんか？
79 : 2022/04/22(金) 11:36:39.52 ID:Ag1SG5SCr: これワイSQLしらんから意味わからんかったんやがevalやってるってこと？
そりゃ危険やしあたおかやわ
80 : 2022/04/22(金) 11:37:02.99 ID:kP2VHUtu0: ワイのユーザー名はOR TRUEや
84 : 2022/04/22(金) 11:38:19.03 ID:pq1wkIvf0: SQL直書きなら最低でもプレースホルダ使うことは覚えてほしい
86 : 2022/04/22(金) 11:39:03.22 ID:BkLeSXjWp: すまんがエスケープってなにンゴ？
88 : 2022/04/22(金) 11:39:50.44 ID:SiGbRRQn0: こういうの見るとなんか昭和の話してるって感じはする