Об ИТ из Канады

Блог Михаила Флёнова - программист, блогер, автор нескольких скандальных книг какими-то глазами...

Программисты из Индии не знают про SQL Injection

2017-01-04 21:59:15 / Безопасность

Я уже писал, что я провожу на работе интервью и я уже общался с не менее 6 программистами, по имени и по истории работы они явно из Индии. Только один из них смог правильно ответить, как нужно защищаться от SQL Injection. Большинство из этих супер программистов, архитекторов на вопрос о том, как защититься от инъекции говорят, что для этого нужно искать и убирать любые SQL инструкции типа SELECT, UPDATE или DELETE. В двух случаях вообще я не услышал ничего внятного, ответ был - там я использовал что-то, не помню что. Как так?

На этой неделе впервые выходец из Индии на вопрос про SQL Injection ответил, что нужно использовать параметры или хранимые процедуры. Меня аж шокировал этот ответ, я просто не ожидал его. Просто я начинаю интервью с простых вопросов и одним из первых идет: чем отличается static метод от других. У парня явно плохой английский и сложно было его понимать, но на такой вопрос он ответил, что у класса должен быть только один static метод. Я сразу же поставил минус и минусы летели почти на каждый мой вопрос. 

Но когда парень дал правильный ответ на SQL Injection, я подумал, что может быть у нас все же была проблема с коммуникацией? Может парень хотел что-то другое сказать, когда говорил, что у класса должен быть только один статичный метод. 

И в любом случае я решил его забраковать, потому что после меня проходит еще один реальный тест, на котором завалились два кандидата, которых я аппрувнул и один из них завалился из-за того, что был хороший .NET программист, но отсутствовал Web, а другой как раз из-за английского. 


Понравилась статья?

Комментарии

Radekk

кстати в php как параметризованные запросы делаются? я просто видел только интерполяцию в формировании запросов.
Ну и вроде надо еще юзать LINQ to Entities, а не Entity SQL и должно быть гуд.

2017-01-05 01:26:37

Ololo

Приходят только индусы? Они до этого где-то уже работали в Канаде?

2017-01-05 04:12:16

Юра

От SQL инъекций нужно SQL вакцины применять а статичный метод это который для статистики в программах используется

2017-01-05 05:41:48

Михаил Фленов

Приходят разные специалисты. Среди американцев и канадцев все знают, как защищаться от SQL Injection. Был один программист из Израиля - не знал. Просто индусов пока интервьюировал больше всего, они попадаются чаще.

2017-01-05 07:24:23

Михаил Фленов

Чтобы в PHP работать с параметризированными запросами нужно использовать PDO. Старые методы типа mysql_query уже давно не рекомендуются к использованию и в PHP7 кажется даже убраны.

У PDO есть возможность задавать параметры:
query->bindValue($key, $value)

2017-01-05 08:05:01

Владимир

А как такие программисты с плохим английским будут работать? Как с ними коммутировать, разбирать тз, обсуждать что-то? В требованиях к кандидату нет требований по уровню английского? Может стоит чтоб кто-то (тот же HR) провел первичное собеседование и по уровню языка отсекал кандидатов?
Или же если специалист хороший, но плохой уровень языка, то до приемлемого для работы его можно быстро подтянуть и некоторое время можно потерпеть сложности общения?

2017-01-06 07:07:44

Михаил Фленов

Требования к английскому зависят от менеджера. Когда меня брали на первые две работы, то никаких требований не было, на пальцах все объясняли мне. Если менеджер не хочет нянькатся, то он введет требование на знание языка.

2017-01-06 07:18:59

Нурлан

А тяжело ли из СНГ устроиться не программистом, а Helpdesk/сисадмином в Канаде? какие требования? не знаете?

2017-01-07 00:42:56

Ololo

Что значит на пальцах? Какой у тебя был уровень английского когда приехал в Канаду?

2017-01-07 09:03:41

Михаил Фленов

Требования  будут такие же, как и в любой другой страна. На сколько легко - я не знаю, потому что никогда не искал работы в этой сфере. Но у маня есть знакомые админы родом из России, которые легко нашли здесь работу и хорошо получают

2017-01-07 09:06:24

Михаил Фленов

Когда только приехал в Канаду, то чтение у меня было отлично, а письмо/восприятие на слух/письмо ужасно. Я же в России почти не тренировал эти навыки, только читал. Даже на слух воспринять без опыта сложно, когда люди говорят быстро и часто используют жаргонные слова.

2017-01-07 09:17:44

Павел

Михаил, а можете расписать как вы проводите интервью? Может в отдельном посте?
Интересен опыт, может есть какая-то схема?

2017-01-10 08:22:35

Михаил Фленов

Ну у меня есть список простых вопросов, которые я задаю. Моя задача отфильтровать совсем уж слабых программистов. Вопросы типа - чем отличается интерфейс от абстрактного класса, чем отличие static методов, что такое SQL Injection.... Потом они идут на реальный тест, где должны будут писать реальный код.

2017-01-10 10:50:52

Оставить комментарий


Умеешь пользоваться BB кодами? Прекрасно, здесь можно использовать [quote] для цитирования, а так же [b] и [i]. Остальные коды пока использовать запрещено. Я думаю по поводу их использования. В комментариях нельзя выяснять крутость каких-либо продуктов, нужно уважать собеседников и не грубить и нельзя ничего додумывать (читайте мои посты внимательно). Нарушение этих простых правил ведет к удалению комментариев без предупреждения.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Внимание!

А ты уже читал мою последнюю книгу о больших сайтах и приложениях? Узнай, что это такое здесь

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповидания на русском или английском языке.

Пишите мне