一名開(kāi)發(fā)者出于好奇在 Google 使用php mysql email register作為關(guān)鍵詞進(jìn)行了搜索。很顯然，這是在查找如何使用 PHP 和 MySQL 實(shí)現(xiàn)郵箱注冊(cè)的功能。

[[413491]]

搜索結(jié)果返回了教程、操作方法、代碼片段等內(nèi)容。不過(guò)大多數(shù)結(jié)果都包含有錯(cuò)誤的 SQL 語(yǔ)句，例如：

// Don't do this! 
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'"); 

根據(jù)對(duì)谷歌搜索結(jié)果的整理，這些 SQL 語(yǔ)句可大致分為四種類(lèi)型：

• SQL 查詢(xún)中的所有參數(shù)都被轉(zhuǎn)義
• 只在絕對(duì)必要的情況下才對(duì)傳入的參數(shù)進(jìn)行轉(zhuǎn)義
• 作者嘗試進(jìn)行了部分轉(zhuǎn)義，但存在漏洞
• 沒(méi)有任何轉(zhuǎn)義邏輯

這名開(kāi)發(fā)者表示，當(dāng)他發(fā)現(xiàn)一個(gè)搜索結(jié)果中存在有問(wèn)題的 SQL 語(yǔ)句時(shí)，就會(huì)跳到瀏覽下一個(gè)結(jié)果。上面就是根據(jù)此過(guò)程整理出來(lái)的 30 條搜索結(jié)果，其中部分答案包含 SQL 注入語(yǔ)句。對(duì)此他認(rèn)為，大多數(shù) Google 搜索結(jié)果的質(zhì)量十分低下。有些搜索結(jié)果就是通過(guò) SEO 優(yōu)化而排在前面的“扯淡”教程。

同時(shí)，這篇文章也引起了程序員的廣泛討論(reddit, Hacker News)，不過(guò)大家關(guān)注的重點(diǎn)也紛紛轉(zhuǎn)移到了編程語(yǔ)言 PHP 上。但作者本意其實(shí)是希望程序員能甄別互聯(lián)網(wǎng)上隨手可得的任何資料，畢竟這里面魚(yú)龍混雜。尤其要注意那些通過(guò) SEO 優(yōu)化而排名靠前的搜索結(jié)果，因?yàn)樗鼈兺褪?ldquo;雷區(qū)”。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：4 個(gè)單詞，谷歌返回 16 個(gè) SQL 注入漏洞

本文地址：https://www.oschina.net/news/152311/16-of-30-google-results-contain-sql-injection