爆出说12306竟然可以用sql注入。
真是看笑了我们。
今天去登陆下。在密码里有"'"都不能登陆。只能说,你们快速反应能力真是残疾啊。
登陆也用拼接,你们都是太有才了。
这是三岁孩童写的程序吗?质量管理去哪里的?你们的项目管理去哪里了?你们少花点时间在应酬上,少拿点钱进自己口袋吧。
建议:
1.不要让不懂技术人来指导具体的开发。我们知道“钱经理”以前是搞销售的,你让他来知道怎么设计数据库,这也太难为他了。这跟会逼死我们刚来上班的程序员啊。
2.加强初级技术培训,如怎么使用spring、hibernate。如果程序员是从asp转过来的话,可以跟他们说,asp最早的时候没有sql注入排查,但是后来asp最注入的检验还是有效的。
3.规范命名规则。
4.加强测试管理。人员,不要让倒水的姑娘,扫地的大妈来帮忙测试。我们理解你们测试工作繁忙,也不能只是点点鼠标,连字符都不输入。测试计划里面难道都是“一桶”、“两条”、“三万”吗?
5.不要让程序员来充当美工,即使在你们经济条件很差的情况下。如:老总喝着茅台,却请不起一个像样点的平面设计师,老总吃着鲍鱼,却请不起稍微有经验的前台工程师。
6.要端正花钱的态度。花了那么多钱,也没有看到测试报告,也没有并发测试,也没有压力测试。