打开http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G#,在自重里面输入" xxx';drop table "点击查询会出现错误,错误如下图所示,最低级的问题是他们的sql或者说hql都是拼凑出来的,难道那些开发人员都不懂什么是注入?其次居然还能看到调试信息,说明没有把开发模式关闭,第三有点疑问,从错误信息中可以看出系统使用了spring和hibernate,对于3亿访问量的系统来说这个架构是否会影响性能?
调试欢乐多
解决方案 »
免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货