Как защитить свой сайт от фрилансера

Зависит от фантазии и квалификации дыркоковырятеля. Особенно, если двиг на ООП.

Простейший пример: "забыть" заинтвалить входящую цельночисленную переменную, а в коде sql-запроса "забыть" откавычить.

Выявить такую забывчивость чрезвычайно сложно даже в простом коде, а в ООП, когда входящие переменные в одном классе, а sql-запрос в другом - на порядок сложнее.

Или чуток "подмудрить" с регулярками. Или оставить в коде необъявленную переменную, что даст доступ тому, кто знает имя переменной.

И даже выявив такие дыры, обвинить разработчика в злом умысле не удастся, такие дыры делают и вполне добропорядочные разработчики просто по неопытности или по невнимательности.

Идем на sf.net, берем конкретный дистрибутив и суем разрабу - "на, ставь".

Ничего нового незаметно он туда не засунет. А что там уже есть - не его (ему еще тоже найти надо), да и значительное число смотрящих на код снижает вероятность, что такие глупости там со временем останутся. И их все труднее и труднее будет искать.

А я знаю, как решить проблему. Делайте все сами! Чего там - книжечку почитать неделю, и пыхарь готов к эксплуатации. Хочешь сделать как следует - делай сам! Делегирование - для слабаков!

Браво! Вот где менеджмент, вот где эффективность! Пофиг, что придется платить двум бойцам, каждый из которых будет работать в пол силы (ибо парное программирование в дисциплинарных целях - это ахтунг), и которые к тому же обязательно "споются" в конце концов, ибо под прессингом коллектив сплачивается (правда, для обороны, а не для работы). Ваши взгляды на управление весьма показательны, именно поэтому вам придется сталкиваться с "хиторо..ми программерами" довольно часто. Есть такой простой закон: нормальные специалисты работают в нормальных компаниях, а неадекватные - там, где неадекватное руководство.

ТС, среднестатистическому программеру совершенно не интересны ваши секретные данные. Он понятия не имеет, что с ними делать. Если же вы провоцируете конфликтную ситуацию (например, кидаете с оплатой) - готовьтесь к худшему и делайте бекапы. Найти грамотно сныканный бэкдор - очень и очень сложно. Поддерживать хорошие отношения с исполнителем - дешевле.

Николай, а я совершенно с Вами согласен, что с идиотами работать глупо и дорого. И сам с ними работать не стал бы, если бы не действие внешних факторов (вроде дружбы этого гуманоида с начальником, или жестко ограниченного бюджета на зарплату, ниже среднего уровня для нормальных программистов).

Но сейчас речь идет не о том, с кем работать или не работать. А о том, что делать, если вот, оно сидит уже на проекте, лезет волосатой лапой в критически важный код, и имеет максимальные привилегии на продакшн-сервере.

Предложенная мною выше последовательность направлена не на дисциплинарные цели, а на увольнение этого гуманоида, с заменой на адекватного работника. И при этом я искал способ передать дела так, чтобы гуманоид не сразу понял, что он в пролете, и не начал гадить по-крупному. Потому как если он резко уйдет, то все, к чему он имел доступ, необходимо будет снимать с эксплуатации и просеивать с невероятной тщательностью.

Согласитесь, потери от такой остановки эксплуатации и трудозатраты на просеивание всего подряд будут во много раз выше, чем повышенная зарплата нового программиста с надбавкой "за вредность" и секретность его миссии.

Я уже даже не говорю о возможных потерях, если гуманоид все-таки сделает какую-нибудь реальную гадость.

P.S.: С ростом бизнеса, неделегировать задачи становится нереально. Ресурс времени у человека ограничен, знаете ли. Приходится использовать чужое время. Так что выбор таков: ковыряйтесь сами на уровне "чуть выше плинтуса", или делегируйте задачи и полномочия, каким-то образом обеспечивая контроль. Вот это, как раз, и есть менеджмент ))))

Платить нужно нормально и вовремя, тогда таких мыслей у программиста не появится.

По своему опыту говорю (со стороны программиста).

Не понимаю таких людей, как ТС. Если вы не доверяете человеку, зачем с ним работать? У меня, например, если порыться в логах можно найти доступ к десяткам чужих сайтов, но вредить им никогда и мысли не было. Намного приятнее хорошо сделать свою работу, получить за это оплату и знать, что этот человек позже обратится к тебе еще.

Сам несколько раз был в ситуации, когда после программиста, оставались ссылки, страницы с ссылками и прочая чухня в сайте.

Программеры боятся только физической угрозы.

Поэтому нужно взять с него данные паспорта, адрес, договор, что в сайте не будет ничего лишнего.

И строго предупредить :) что он будет найден и наказан, в любом случае, это Ваш жизненный принцип.

По другому никак.

Денег никогда не бывает достаточно. И лишних денег у работодателя не бывает. А ошибки в оценках трудозатрат и затягивание работ со стороны исполнителя происходит гораздо чаще, чем затягивание выплат, ибо заплатить то гораздо проще, чем оценить и сделать.

А еще нередко приходится неоднократно посылать "выполненный" заказ на доработку, так как при сдаче обнаруживается масса несоответствий ТЗ, в том числе таких, когда исполнитель не понял, не спросил, и сделал по своему, или вообще не сделал. А самоделки часто оказываются несовместимы с ральностью.

В итоге, разумеется, пока нет готовой работы - нет и оговоренной оплаты. А работники частенько считают, что за все это дополнительное время заказчик им что-то еще должен доплачивать. Что, однозначно, не так. Значит, всегда возможна ситуация неудовлетворенности программера.

Иногда у тебя просто нет выбора. Получаешь в руки уже начатый проект с утвержденным подрядчиком и частично написанным им софтом, или начальник по знакомству устраивает программера, и т.п. Я сам бывал в такой ситуации. Да и собеседование с испытательным сроком не гарантируют, что удастся выявить неадекватность работника - она может потом всплыть.

Так что, думать о защите своих интересов - логично при любом раскладе.

Угроза жестокой физической расправы - более действенный метод обеспечения качества результата, чем подкуп, но нормальным отношениям с нормальным подрядчиком, ни то, ни другое никак не способствует.

Лично я считаю, что целесообразнее делить задачу между несколькими подрядчиками, использовать стандартизацию и документирование, контролировать выполнение работ и фиксировать их результаты на малых промежутках времени, выполнять конечную установку софта самостоятельно или доверять ее очень лояльному и близкому человеку.

Вроде 90-ые уже прошли или Вы где живете? Люди это связи. У кого-то их нет, а кто-то и маски шоу за такие угрозы может устроить, или налоговиков Вам в офис пригласить. Лучше все же по человечески, но с контролем. Если проект большой и дорогостоящий, а людей много, сажайте квалифицированного программера на просмотр выполненной работы. Благо CVS есть или SVN.

Емае...

1) Про "жестокую физическую расправу", ясен пень, была шутка.

2) Я то же самое и написал, другими словами.