或許是我太孤陋寡聞 昨天跟朋友閒聊才知道這地方
http://www.wooyun.org/
裡面看到很多台灣的網站有 SQL Injection 的問題
小弟想說這不是很常見的資安常識嗎！？
根據我工作的經驗 可以歸納出原因整理如下
1. Legacy System
2. 便宜行事 組 SQL 字串比較直覺 也沒有驗證資料
3. 對 Framework 不熟 誤用
4. 資安常識不足
不知道版上的各位強者大大們 怎麼看這件事情
謝謝

我覺得2最多XD

PM: SQL 查詢改幾個字就好了吧, 下班前記得 commit

發案人沒要求阿 $_$

沒有漏洞掃描的檢核機制吧

大部份台商只會用低薪聘猴子，做出來的品質能好到哪

就趕著上線, 該做的安全測試都沒做

剛出校門的 幾個會去注意資安問題 程式能動能交差就好

除非自己組sql，不然很多framework都幫你做掉了吧

資安的概念應該和if then或for loop一起教

會發生的原因最主要應該是該單位主管沒有sense然後公司條件差 只能找剛畢業的..這種問題就很容易發生

公司沒買弱掃工具或是工具太舊掃不出來

1,2,4都很多吧

個人看法比較負面.3和4才是主因...與其說是訓練的問題 不如說這是業界不夠成熟就能賺錢的問題(賺錢門檻太低 = =|||)應該說 "在技術上"的賺錢門檻遠不及其他項目...

你覺得領22K 28K的需要搞資安嗎應該說 你真的以為台灣公司有QA嗎...

時程與成本問題....顧客就是這麼快要你沒交差就是違約

專案的目標就是驗收.壓榨久了,能動就是好code.

沒sense的老一輩主管還真不少，尤其接案公司速度功能導向，沒把資安部分放驗收條件。