Программисты из Индии не знают про SQL Injection


14 0

Я уже писал, что я провожу на работе интервью и я уже общался с не менее 6 программистами, по имени и по истории работы они явно из Индии. Только один из них смог правильно ответить, как нужно защищаться от SQL Injection. Большинство из этих супер программистов, архитекторов на вопрос о том, как защититься от инъекции говорят, что для этого нужно искать и убирать любые SQL инструкции типа SELECT, UPDATE или DELETE. В двух случаях вообще я не услышал ничего внятного, ответ был - там я использовал что-то, не помню что. Как так?

На этой неделе впервые выходец из Индии на вопрос про SQL Injection ответил, что нужно использовать параметры или хранимые процедуры. Меня аж шокировал этот ответ, я просто не ожидал его. Просто я начинаю интервью с простых вопросов и одним из первых идет: чем отличается static метод от других. У парня явно плохой английский и сложно было его понимать, но на такой вопрос он ответил, что у класса должен быть только один static метод. Я сразу же поставил минус и минусы летели почти на каждый мой вопрос. 

Но когда парень дал правильный ответ на SQL Injection, я подумал, что может быть у нас все же была проблема с коммуникацией? Может парень хотел что-то другое сказать, когда говорил, что у класса должен быть только один статичный метод. 

И в любом случае я решил его забраковать, потому что после меня проходит еще один реальный тест, на котором завалились два кандидата, которых я аппрувнул и один из них завалился из-за того, что был хороший .NET программист, но отсутствовал Web, а другой как раз из-за английского. 


Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым


Комментарии

Radekk

05 Января 2017

кстати в php как параметризованные запросы делаются? я просто видел только интерполяцию в формировании запросов.
Ну и вроде надо еще юзать LINQ to Entities, а не Entity SQL и должно быть гуд.


Ololo

05 Января 2017

Приходят только индусы? Они до этого где-то уже работали в Канаде?


Юра

05 Января 2017

От SQL инъекций нужно SQL вакцины применять а статичный метод это который для статистики в программах используется


Михаил Фленов

05 Января 2017

Приходят разные специалисты. Среди американцев и канадцев все знают, как защищаться от SQL Injection. Был один программист из Израиля - не знал. Просто индусов пока интервьюировал больше всего, они попадаются чаще.


Михаил Фленов

05 Января 2017

Чтобы в PHP работать с параметризированными запросами нужно использовать PDO. Старые методы типа mysql_query уже давно не рекомендуются к использованию и в PHP7 кажется даже убраны.

У PDO есть возможность задавать параметры:
query->bindValue($key, $value)


Владимир

06 Января 2017

А как такие программисты с плохим английским будут работать? Как с ними коммутировать, разбирать тз, обсуждать что-то? В требованиях к кандидату нет требований по уровню английского? Может стоит чтоб кто-то (тот же HR) провел первичное собеседование и по уровню языка отсекал кандидатов?
Или же если специалист хороший, но плохой уровень языка, то до приемлемого для работы его можно быстро подтянуть и некоторое время можно потерпеть сложности общения?


Михаил Фленов

06 Января 2017

Требования к английскому зависят от менеджера. Когда меня брали на первые две работы, то никаких требований не было, на пальцах все объясняли мне. Если менеджер не хочет нянькатся, то он введет требование на знание языка.


Нурлан

07 Января 2017

А тяжело ли из СНГ устроиться не программистом, а Helpdesk/сисадмином в Канаде? какие требования? не знаете?


Ololo

07 Января 2017

Что значит на пальцах? Какой у тебя был уровень английского когда приехал в Канаду?


Михаил Фленов

07 Января 2017

Требования  будут такие же, как и в любой другой страна. На сколько легко - я не знаю, потому что никогда не искал работы в этой сфере. Но у маня есть знакомые админы родом из России, которые легко нашли здесь работу и хорошо получают


Михаил Фленов

07 Января 2017

Когда только приехал в Канаду, то чтение у меня было отлично, а письмо/восприятие на слух/письмо ужасно. Я же в России почти не тренировал эти навыки, только читал. Даже на слух воспринять без опыта сложно, когда люди говорят быстро и часто используют жаргонные слова.


Павел

10 Января 2017

Михаил, а можете расписать как вы проводите интервью? Может в отдельном посте?
Интересен опыт, может есть какая-то схема?


Михаил Фленов

10 Января 2017

Ну у меня есть список простых вопросов, которые я задаю. Моя задача отфильтровать совсем уж слабых программистов. Вопросы типа - чем отличается интерфейс от абстрактного класса, чем отличие static методов, что такое SQL Injection.... Потом они идут на реальный тест, где должны будут писать реальный код.


Добавить Комментарий

Еще что-нибудь

Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.

О блоге

Программист, автор нескольких книг серии глазами хакера и просто блогер. Интересуюсь безопасностью, хотя хакером себя не считаю

Обратная связь

Без проблем вступаю в неразборчивые разговоры по e-mail. Стараюсь отвечать на письма всех читателей вне зависимости от страны проживания, вероисповедания, на русском или английском языке.

Пишите мне