4个单词，谷歌返回16个SQL注入漏洞

Posted 2021-07-28 OSC开源社区

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了4个单词，谷歌返回16个SQL注入漏洞相关的知识，希望对你有一定的参考价值。

文 | 局长

出品 | OSC开源社区（ID：oschina2013）

一名开发者出于好奇在 Google 使用 php mysql email register 作为关键词进行了搜索。很显然，这是在查找如何使用 PHP 和 MySQL 实现邮箱注册的功能。

搜索结果返回了教程、操作方法、代码片段等内容。不过大多数结果都包含有错误的 SQL 语句，例如：

// Don't do this!
mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");

根据对谷歌搜索结果的整理，这些 SQL 语句可大致分为四种类型：

SQL 查询中的所有参数都被转义
只在绝对必要的情况下才对传入的参数进行转义
作者尝试进行了部分转义，但存在漏洞
没有任何转义逻辑

这名开发者表示，当他发现一个搜索结果中存在有问题的 SQL 语句时，就会跳到浏览下一个结果。上面就是根据此过程整理出来的 30 条搜索结果，其中部分答案包含 SQL 注入语句。对此他认为，大多数 Google 搜索结果的质量十分低下。有些搜索结果就是通过 SEO 优化而排在前面的“扯淡”教程。

同时，这篇文章也引起了程序员的广泛讨论(reddit, Hacker News)，不过大家关注的重点也纷纷转移到了编程语言 PHP 上。但作者本意其实是希望程序员能甄别互联网上随手可得的任何资料，毕竟这里面鱼龙混杂。尤其要注意那些通过 SEO 优化而排名靠前的搜索结果，因为它们往往就是“雷区”。

END

K桌面环境名称由来你知道吗？

关注视频号“开开开源”

带你了解更多开源知识

以上是关于4个单词，谷歌返回16个SQL注入漏洞的主要内容，如果未能解决你的问题，请参考以下文章

4 个单词，谷歌返回 16 个 SQL 注入漏洞...

安全测试 web安全测试常规安全漏洞可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞，哪么可能存在漏洞场景是？SQL注入漏洞修复 JS注入漏洞修复漏洞存在场景分析和修复示例(代码片段

某网站纯在SQl注入利用漏洞

SQL注入漏洞靶场-sqli-labs学习[1-10]

干货 | 批量挖sql注入漏洞