4 个单词，谷歌返回 16 个 SQL 注入漏洞...

╰半夏微凉° 2022-09-02 04:02 15阅读 0赞

**点击关注公众号，Java干货****及时送达**![0625a988e9029b0c07088e765533eeb5.png][]

文 | 局长

出品 | OSC开源社区（ID：oschina2013）

一名开发者出于好奇在 Google 使用`php mysql email register`作为关键词进行了搜索。很显然，这是在查找如何使用 PHP 和 MySQL 实现邮箱注册的功能。

[搜索结果返回了教程、操作方法、代码片段等内容。不过大多数结果都包含有错误的 SQL 语句，例如：][SQL]

// Don't do this!
    mysqli_query("SELECT * FROM user WHERE id = '" . $_POST["user'] . "'");

[根据对谷歌搜索结果的整理，这些 SQL 语句可大致分为四种类型：][SQL]

1.  [SQL 查询中的所有参数都被转义][SQL]
2.  [只在绝对必要的情况下才对传入的参数进行转义][SQL]
3.  [作者尝试进行了部分转义，但存在漏洞][SQL]
4.  [没有任何转义逻辑][SQL]

![fcb03f4e4279e0b64a5456c510bf4b35.png][]

这名开发者表示，当他发现一个搜索结果中存在有问题的 SQL 语句时，就会跳到浏览下一个结果。上面就是根据此过程整理出来的 30 条搜索结果，其中部分答案包含 SQL 注入语句。对此他认为，大多数 Google 搜索结果的质量十分低下。有些搜索结果就是通过 SEO 优化而排在前面的“扯淡”教程。

同时，这篇文章也引起了程序员的广泛讨论(reddit, Hacker News)，不过大家关注的重点也纷纷转移到了编程语言 PHP 上。但作者本意其实是希望程序员能甄别互联网上随手可得的任何资料，毕竟这里面鱼龙混杂。尤其要注意那些通过 SEO 优化而排名靠前的搜索结果，因为它们往往就是“雷区”。

![27dcadedca6a3e0ba4863429d13126d2.gif][]

![a43269230fd9e4c35de4ee614970cded.png][]

[![51f52256ad3abcd08cb3c93cc9bf0379.png][]][51f52256ad3abcd08cb3c93cc9bf0379.png 1]

[![9a90920a98ce4ebe17fb3cfe66896871.png][]][9a90920a98ce4ebe17fb3cfe66896871.png 1]

[![7471de29ad3393856d1cf47b802e9b16.png][]][7471de29ad3393856d1cf47b802e9b16.png 1]

[![4399b7c0371da82de36a635737b266d1.png][]][4399b7c0371da82de36a635737b266d1.png 1]

[![ec3c3da4d4066ce845829c08815eedaa.png][]][ec3c3da4d4066ce845829c08815eedaa.png 1]

**关注Java技术栈看更多干货**

![ed2e64e44305dcfccfe8b058c3399f1c.png][]

![0408a2b6ff53e7601814ed4eddeff5fd.gif][]

获取 Spring Boot 实战笔记！

[0625a988e9029b0c07088e765533eeb5.png]: /images/20220829/d223d4f918ea424f9eb9bc011ff7f3c9.png
[SQL]: http://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&chksm=eb50d67edc275f68c6d443f9e13c4c97ac338c0ef3d5620066e91c730ca56f73e3ba5b3e34b3&idx=2&mid=2247537480&scene=21&sn=3988f1db2d6c48c05151baaa0c3f9b41#wechat_redirect
[fcb03f4e4279e0b64a5456c510bf4b35.png]: /images/20220829/21b3402359194c9fa733d836f5bf9369.png
[27dcadedca6a3e0ba4863429d13126d2.gif]: /images/20220829/e6c90cb6fa134432bb635c8481913945.png
[a43269230fd9e4c35de4ee614970cded.png]: /images/20220829/120059d85a7e43d2ab81c93f47561573.png
[51f52256ad3abcd08cb3c93cc9bf0379.png]: /images/20220829/66460775c06a4476aebe1c9ab47ad721.png
[51f52256ad3abcd08cb3c93cc9bf0379.png 1]: https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&idx=1&mid=2247537480&scene=21&sn=0100a0c9c538acbd62635d380c9cd5e0#wechat_redirect
[9a90920a98ce4ebe17fb3cfe66896871.png]: /images/20220829/9501ed0b14ef41979f0d4000e68f2e9d.png
[9a90920a98ce4ebe17fb3cfe66896871.png 1]: https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&idx=1&mid=2247537315&scene=21&sn=617bc750ead2a09c158c737bf5b7002a#wechat_redirect
[7471de29ad3393856d1cf47b802e9b16.png]: /images/20220829/02110d475cb143a8b357cb9805113287.png
[7471de29ad3393856d1cf47b802e9b16.png 1]: https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&idx=1&mid=2247530418&scene=21&sn=e6a0138c7c2f9a9ff6a8b4c878386211#wechat_redirect
[4399b7c0371da82de36a635737b266d1.png]: /images/20220829/0a2842483c70492bb30532cb82157f43.png
[4399b7c0371da82de36a635737b266d1.png 1]: https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&idx=1&mid=2247537730&scene=21&sn=3869e164e482b838671fa8896cb33cdb#wechat_redirect
[ec3c3da4d4066ce845829c08815eedaa.png]: /images/20220829/557e58543f1148b58ca3c65410f59f07.png
[ec3c3da4d4066ce845829c08815eedaa.png 1]: https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw%3D%3D&idx=1&mid=2247535563&scene=21&sn=b2a1de775b95890690e3295aa7e6b253#wechat_redirect
[ed2e64e44305dcfccfe8b058c3399f1c.png]: /images/20220829/9028aa6a4c174922980cf553858ee4a2.png
[0408a2b6ff53e7601814ed4eddeff5fd.gif]: /images/20220829/8fbb098452eb4dca8b2fa94ed9ab3ea7.png