4 個單詞,谷歌返回 16 個 SQL 注入漏洞...

語言: CN / TW / HK

文 | 局長
出品 | OSC開源社群(ID:oschina2013)

一名開發者出於好奇在 Google 使用php mysql email register作為關鍵詞進行了搜尋。很顯然,這是在查詢如何使用 PHP 和 MySQL 實現郵箱註冊的功能。

搜尋結果返回了教程、操作方法、程式碼片段等內容。不過大多數結果都包含有錯誤的 SQL 語句,例如:

// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");

根據對谷歌搜尋結果的整理,這些 SQL 語句可大致分為四種類型:

  1. SQL 查詢中的所有引數都被轉義
  2. 只在絕對必要的情況下才對傳入的引數進行轉義
  3. 作者嘗試進行了部分轉義,但存在漏洞
  4. 沒有任何轉義邏輯

這名開發者表示,當他發現一個搜尋結果中存在有問題的 SQL 語句時,就會跳到瀏覽下一個結果。上面就是根據此過程整理出來的 30 條搜尋結果,其中部分答案包含 SQL 注入語句。對此他認為,大多數 Google 搜尋結果的質量十分低下。有些搜尋結果就是通過 SEO 優化而排在前面的“扯淡”教程。

同時,這篇文章也引起了程式設計師的廣泛討論(reddit, Hacker News),不過大家關注的重點也紛紛轉移到了程式語言 PHP 上。但作者本意其實是希望程式設計師能甄別網際網路上隨手可得的任何資料,畢竟這裡面魚龍混雜。尤其要注意那些通過 SEO 優化而排名靠前的搜尋結果,因為它們往往就是“雷區”。

近期熱文推薦:

1.1,000+ 道 Java面試題及答案整理(2021最新版)

2.終於靠開源專案弄到 IntelliJ IDEA 啟用碼了,真香!

3.阿里 Mock 工具正式開源,幹掉市面上所有 Mock 工具!

4.Spring Cloud 2020.0.0 正式釋出,全新顛覆性版本!

5.《Java開發手冊(嵩山版)》最新發布,速速下載!

覺得不錯,別忘了隨手點贊+轉發哦!