V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
WWd0g
V2EX  ›  PHP

php 程序员找不到工作怎么办啊?

  •  
  •   WWd0g · 2016-11-04 23:42:09 +08:00 · 8591 次点击
    这是一个创建于 2948 天前的主题,其中的信息可能已经有所发展或是发生改变。

    9 月中旬离职了,到现在都还没找到工作 离职期间也都在投简历,但是面试邀请收到的很少 大部分工作要求 2-3 年的工作经验,但是我只有 1 年的工作经验 自我感觉除了项目经验略低,其他的技能点都还不错 比如代码质量啊,思维逻辑什么的(和之前公司里面的程序员比较起来说)

    当然也是有收到一些公司的面试邀请 但是最终都没能面试上 发现自己嘴巴不是特别会说,如果面试官问一些技术上的问题还好 但是问道类似人生规划,梦想,以后准备...这类的我就会懵逼

    上周也去了一家公司面试,面试期间感觉还行 期间讲过自己会一点网络安全和渗透方面的技能 但是因为那个面试是当天就约到后去的 时间匆忙,没有对他们公司进行一些安全检测

    面试完后,回到家就对面试的公司官网进行了一些简单的检测 发现了几个重大的漏洞吧

    • 任意账户密码修改漏洞
    • 任意文件上传漏洞

    第二个漏洞直接就把公司官网的服务器也拿下了

    第二天就给面试的公司打电话,最后联系到了昨天的面试官 然后是通过 QQ 的远程桌面给面试官演示了我上面发现的两个漏洞 当时我感觉面试官应该会满脸惊讶;) 但是面试官说给我看这个漏洞干嘛......

    妈蛋,今天我又去那个公司官网看了下 居然还没修复我说的漏洞 而且我测试的时候上传的木马都没有删(免责声明:本人只是检测漏洞,并未通过漏洞进一步获取网站内容进行任何牟利行为)

    哎,话说这家公司面试的时候 聊得还可以啊,而且我都把他们网站发现了几个高危漏洞 这也不要我...

    不算其他的,如果这类网站去白帽众测的话 拿到服务器的漏洞,应该可以拿接近 5k 了吧...

    这都快两月了,还好中间接了点爬虫单子 勉强维持生活

    所以我想问问各位前辈 像我这种工作经验略低的程序员怎么才能找到工作?

    个人博客:( http://www.wd0g.com) 邮箱:[email protected](0 是数字哦)

    如果有成都的大大要招 php 的,可以联系邮箱哦 感谢!

    第 1 条附言  ·  2016-11-05 13:22:18 +08:00
    文中所讲到的安全部分并不是用来炫耀的,而且也没什么值得炫耀的地方
    第 2 条附言  ·  2016-11-05 13:23:00 +08:00
    我博客用的证书就是沃痛的...我也对 linux 不是很熟悉
    第 3 条附言  ·  2016-11-05 13:37:08 +08:00
    各位大大说的我也不好意思了...
    宝宝会努力的;)
    第 4 条附言  ·  2016-11-06 18:30:34 +08:00
    证书已经去掉沃痛的了...
    64 条回复    2016-11-11 19:05:04 +08:00
    cxbig
        1
    cxbig  
       2016-11-05 00:29:44 +08:00
    你干嘛要跟不识货的公司死磕。。。
    WWd0g
        2
    WWd0g  
    OP
       2016-11-05 00:40:03 +08:00
    @cxbig 我只想找份 php 的工作,实在是找不到了
    cxbig
        3
    cxbig  
       2016-11-05 00:43:32 +08:00
    @WWd0g 先别怀疑自己的能力,你只是没找对平台。你有没有试过远程 Freelancer 模式?英语沟通能力如何?可以试试国外的自由职业者平台。
    WWd0g
        4
    WWd0g  
    OP
       2016-11-05 00:45:12 +08:00
    @cxbig 英语沟通简单的还行,但是用在工作当中还是够呛,目前也在努力背单词~~~
    ranwu
        5
    ranwu  
       2016-11-05 00:45:39 +08:00
    熟人
    WWd0g
        6
    WWd0g  
    OP
       2016-11-05 00:45:52 +08:00
    @cxbig 这个就是文中讲到的任意文件上传漏洞 https://www.wd0g.com/?p=138
    tinyproxy
        7
    tinyproxy  
       2016-11-05 00:46:05 +08:00
    之前乌云那事应该还有人记得吧,你这算不算人赃并获。

    祝找到合适的工作。
    WWd0g
        8
    WWd0g  
    OP
       2016-11-05 00:46:30 +08:00
    @ranwu 谁?
    WWd0g
        9
    WWd0g  
    OP
       2016-11-05 00:47:10 +08:00
    @tinyproxy 我并没有做任何损害贵司利益的任何事情,数据库都没碰
    tinyproxy
        10
    tinyproxy  
       2016-11-05 00:49:49 +08:00
    @WWd0g 我就跟你开个玩笑啦
    WWd0g
        11
    WWd0g  
    OP
       2016-11-05 00:50:55 +08:00
    @tinyproxy 所以我严肃的回答下撒;)
    sobigfish
        12
    sobigfish  
       2016-11-05 00:52:19 +08:00
    lz 可以先检查下 blog 里的文章, https://www.wd0g.com/?p=108
    你干嘛要用别人的脚本安,还是 777 权限给目录
    你 blog 里也提 非最小权限的危害,但自己还是没有最佳实践
    misaka19000
        13
    misaka19000  
       2016-11-05 01:03:07 +08:00 via iPad
    我只要上传的文件不位于服务器下能彻底杜绝这种漏洞吗?使用单独的静态资源服务器来保存上传的文件。
    cxbig
        14
    cxbig  
       2016-11-05 01:45:18 +08:00
    @misaka19000 LZ 说的这种漏洞太低级了,随便一个框架都有机制杜绝这种事情。
    上传文件都能搞定,只能说他提及的这个公司太差了。
    哪怕不用框架,做一个后缀检查或者 mime_type 就能搞定。
    sobigfish
        15
    sobigfish  
       2016-11-05 01:48:46 +08:00 via iPhone
    @misaka19000 单独静态是可以(如果不会被 copy 或者读取的情况下 比如你想读了然后缩放万一有漏洞还是不能完全保证 oss 可以

    检查 mime 然后目录没有运行权限也能防止一些

    to lz 我还见过 CHRO 教底下的 hr 的面试题什么是主键 什么是外键的奇葩呢 (奇葩的是他们的程序 数据库 mysql 里完全看不到外键) 你也许可以关注一下运维安全方面的工作
    WWd0g
        16
    WWd0g  
    OP
       2016-11-05 02:33:32 +08:00 via iPhone
    @cxbig 漏洞虽然低级,但是影响很大
    WWd0g
        17
    WWd0g  
    OP
       2016-11-05 02:33:52 +08:00 via iPhone
    @sobigfish 对 Linux 不是很熟悉啦
    likezun
        18
    likezun  
       2016-11-05 08:00:57 +08:00
    @WWd0g 死脑筋,是谁规定说有漏洞就一定要修复!!!
    franklinyu
        19
    franklinyu  
       2016-11-05 08:10:58 +08:00
    @sobigfish {{12L}}: 那篇博客,我補充一下:

    1. <code>chmod -R 777 /server</code> 這行裡面 <code>/server</code> 應該改成 <code>./server</code> 否則改的是根目錄下的 <code>server</code>。
    2. HTTPS 證書是自己簽的吧…… 還不如沒有 TLS 呢。
    zachlhb
        20
    zachlhb  
       2016-11-05 08:20:32 +08:00 via Android
    同是 PHP 没找到,感觉现在随便一个公司都要求高,一个几人的公司,要千万级 pv 开发经验,我去,也不想想自己能不能达到,现在有点不想找了,自己做项目不是更好,干嘛非要去看那些臭老板的逼脸
    dennyzhang
        21
    dennyzhang  
       2016-11-05 08:30:44 +08:00
    @cxbig 个人感觉刚工作不久就去走 freelancer ,不太合适。事倍功半,

    还是等到了专家级再做 freelancer 会比较好。
    imcxy
        22
    imcxy  
       2016-11-05 08:36:05 +08:00
    现在的网站技术已经很多年了。该占位的公司都占了,该垄断的垄断了,每年几百万毕业生。。。不是你不够好,而是挑选余地太多了,走移动端吧。机会更多点~
    falcon05
        23
    falcon05  
       2016-11-05 09:54:36 +08:00 via iPhone
    这个漏洞太 low 了,这样的公司不去也罢
    abcbuzhiming
        24
    abcbuzhiming  
       2016-11-05 10:13:50 +08:00
    楼主,下次别这么干,人家不理你是轻,人家要是报警了你就掉的大
    jellybool
        25
    jellybool  
       2016-11-05 10:35:16 +08:00
    其实说真的,看到这个文章 https://www.wd0g.com/?p=131

    我就不敢苟同你的代码质量。
    Sunyanzi
        26
    Sunyanzi  
       2016-11-05 11:20:41 +08:00
    通篇都是在抱怨这个世界不识货自己这么牛逼找不到工作 ... 所以你开的多少月薪说来听听 ..?

    还有 ... 职业方向呢 ..? 口口声声说要做 PHP 却一直在讲自己的安全实力 ... 所以你还要不要开发 ..?

    至于标题的问题 ... 或者你独行于世 ... 或者在你觉得别人都傻逼的时候先停下来看看自己 ...

    P.S. 不用沃通的证书难道还没有成为一个常识吗 ...
    WWd0g
        27
    WWd0g  
    OP
       2016-11-05 12:02:33 +08:00 via iPhone
    @jellybool 这是微博 sdk 里面写的代码,我直接 copy 的当时只是测试下,没太注重质量
    WWd0g
        28
    WWd0g  
    OP
       2016-11-05 12:07:53 +08:00 via iPhone
    @Sunyanzi
    月薪: 5k
    我讲安全实力和我做开发很矛盾吗?
    helihuo
        29
    helihuo  
       2016-11-05 12:27:00 +08:00
    沃通证书。。。。我这里直接拦截了
    q397064399
        30
    q397064399  
       2016-11-05 12:34:34 +08:00   ❤️ 2
    @WWd0g web 狗那点东西 说实话,拿出来炫 真搞安全的笑掉大牙了,搞开发的不是不注重安全,而是国内大环境就是
    中小公司根本不注重这些玩意,你哪怕是把人家整个内网服务器全拿下了,人家技术主管也不会鸟你,真的触及到对方利益的话 直接就报警了,上次某云那位仁兄, 32 岁的大叔了 居然还想搞个大新闻,结果呢?把自己送进去不说,还害了家里的父母亲

    上传漏洞这玩意,其实很多年前就有了(最早有 fckeditor 以及很多著名的在线编辑器 asp 有动力论坛之流), 最保险的办法 就是文件全保存为 二进制 不留后缀,将后缀名写进数据库,在返回的时候 通过 IO 写进 http 输出流
    elvba
        31
    elvba  
       2016-11-05 13:13:34 +08:00
    @WWd0g 做开发和搞安全是两个不同的方向啊,做事的时候这俩的思路都不一样……
    别人招你是去做开发,以及说公司规模稍微大点,有安全要求的项目,上线的时候都有专门的安全部门做安全测试
    Sunyanzi
        32
    Sunyanzi  
       2016-11-05 13:16:26 +08:00
    @WWd0g 并不矛盾但是要分清主次 ... 掌握安全技能自然是极好的 ... 但首先你开发实力要过硬 ...

    以及一年经验 5k 这价格并不过分 ... 成都居然惨成这样了我也是没想到 ...

    所以现在的建议 ... 在简历里写几个自己之前独立完成的项目 ... 然后勤投投吧 ...
    WWd0g
        33
    WWd0g  
    OP
       2016-11-05 13:20:38 +08:00
    @q397064399
    @Sunyanzi
    都在说我炫耀安全,我只是把整件事情讲出来而已.
    jellybool
        34
    jellybool  
       2016-11-05 13:39:55 +08:00
    @WWd0g 反正我个人觉得这样的代码和态度简直了。。。

    把你觉得你写得最优雅的代码放出来看看?
    q397064399
        35
    q397064399  
       2016-11-05 13:40:52 +08:00
    @WWd0g 不是炫耀安全,而是 现实是 安全根本就不是一回事
    WWd0g
        36
    WWd0g  
    OP
       2016-11-05 13:50:06 +08:00
    @jellybool 我也不是很完美的人啦~~~
    fatesb
        37
    fatesb  
       2016-11-05 14:07:35 +08:00
    可以转渗透
    dsphper
        38
    dsphper  
       2016-11-05 14:21:48 +08:00
    这 tm 是什么公司,对技术根本就不重视好吧?随随便便黑盒就能找到这么明显的漏洞?我擦,这 tm 明显公司人就不 care 安全嘛!!!
    dsphper
        39
    dsphper  
       2016-11-05 14:22:08 +08:00
    千万别去!!!
    WWd0g
        40
    WWd0g  
    OP
       2016-11-05 14:48:21 +08:00
    @dsphper 爱情和面包只能选一个啊;-(
    dabpop139
        41
    dabpop139  
       2016-11-05 15:34:09 +08:00 via Android
    不用太焦虑,总有一段时间是迷茫的过了就好了。
    zz
        42
    zz  
       2016-11-05 15:54:07 +08:00 via Android
    只能降薪了
    7jmS8834H50s975y
        43
    7jmS8834H50s975y  
       2016-11-05 15:56:04 +08:00
    @WWd0g 在看你的博客,我感觉最好加一个 你自己的介绍,如果有 github 最好,也方便别人了解你的特长。
    jellybool
        44
    jellybool  
       2016-11-05 16:32:36 +08:00
    @WWd0g 行吧,当我没说
    v9ex
        45
    v9ex  
       2016-11-05 16:43:37 +08:00
    @Sunyanzi 能回复下关于商城 SKU 表结构数据的那篇么?
    lan894734188
        46
    lan894734188  
       2016-11-05 16:47:59 +08:00 via Android
    广州一样 很多出 1k 的 都不让人活了
    WWd0g
        47
    WWd0g  
    OP
       2016-11-05 17:22:26 +08:00
    @wsdjeg soga,了解 !
    exalex
        48
    exalex  
       2016-11-05 17:59:22 +08:00
    @lan894734188 出 1k 是什么鬼。。。
    bramblex
        49
    bramblex  
       2016-11-05 18:00:59 +08:00 via Android
    不错啊,挺有前途的啊。

    问题不在炫不炫安全,而是光有这个意识就很不错了。这跟安全无关,而是跟有没有想把东西做得更好的意识有关。

    以前我面试 php 程序员的时候,面试了半个月才有一个能把一个 http 从请求到响应都干了啥说清楚的,心塞…
    dko
        50
    dko  
       2016-11-05 18:38:56 +08:00
    两个漏洞不值 5K 。
    lan894734188
        51
    lan894734188  
       2016-11-05 18:49:36 +08:00 via Android
    @exalex 50 块钱一天…
    lianxiaoyi
        52
    lianxiaoyi  
       2016-11-05 19:13:59 +08:00 via Android
    官网而已!都是随便找的 cms 改改而已!只要没被拿去挂广告就行!
    WWd0g
        53
    WWd0g  
    OP
       2016-11-05 19:19:33 +08:00
    @bramblex 主要之前喜欢玩这方面的东西,现在学了 php 之后能用"黑客"的角度来写点代码而已,..
    m2shad0w
        54
    m2shad0w  
       2016-11-05 22:39:53 +08:00
    可以来杭州。。
    cxbig
        55
    cxbig  
       2016-11-06 08:36:46 +08:00 via iPhone
    @lan894734188 广州哪家公司 PHP 开一千?搞笑呢吧?只会 MS Office 也不是这个价啊……
    cxbig
        56
    cxbig  
       2016-11-06 08:42:18 +08:00 via iPhone
    @dennyzhang 在国内的时候大部分时间都是 Freelancer 的状态,个人觉得这种工作方式更锻炼人。
    dennyzhang
        57
    dennyzhang  
       2016-11-06 11:42:56 +08:00
    @cxbig 是锻炼人。但是工作才一两年,没有养成良好的工作习惯和思维模式。会走很多弯路吧。
    yoke123
        58
    yoke123  
       2016-11-06 15:17:25 +08:00
    厉害啊 我的哥 跑这上面来了 (滑稽)
    huai
        59
    huai  
       2016-11-07 10:33:51 +08:00
    爆裂狗?
    cultivator
        60
    cultivator  
       2016-11-07 11:10:04 +08:00
    虽然不是 PHPer ,但是翻了翻你的博客,感觉没什么亮点,对于一年的程序员,公司可能更看中的是你拥有一个扎实的基础。
    timestamp
        61
    timestamp  
       2016-11-07 14:43:59 +08:00
    没事学学写框架或者商城,有自己的东西比较好证明实力。祝楼猪早日找到满意的工作!
    Jakesoft
        62
    Jakesoft  
       2016-11-08 00:08:13 +08:00
    所别字看着好难受,沃痛 -> 沃通
    ahkxhyl
        63
    ahkxhyl  
       2016-11-11 18:56:34 +08:00
    我玩了 4-5 年入侵类的~~~~ 现在没玩这个也 4-5 年了~
    ahkxhyl
        64
    ahkxhyl  
       2016-11-11 19:05:04 +08:00
    burpsuite ?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2734 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 09:27 · PVG 17:27 · LAX 01:27 · JFK 04:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.