12306暴SQL注入漏洞？！這下樂大發了

剛纔在oschina上看到了鐵道部12306網站被暴存在SQL注入漏洞的消息，絕對的高危等級。看了看截圖，真是無語了，這種錯誤過低級了，初級程序員都不應犯，難道12306真是幾個本科生的期末大做業？呵呵，玩笑了。

漏洞發現者也挺逗，說「分站有個注入，好幾億的項目，沒敢跑庫，跑壞了賠不起……」

從下面的截圖中能看到，系統是基於JavaEE的，SSH框架，應用服務器WebLogic，數據庫果真是Oracle，使用了C3P0作鏈接池。

因爲輸入了單引號，直接拼串致使最終的SQL變成了下面的樣子：

select * from TB_INFO_CLCS where flag = 'Y' and czdm = 'G' and ziz like '%6'%' order by cxdm

想想，出了這種結果，一是說明整個團隊人員技術的水平通常，至少是存在水平不過關的程序員；二是說明項目開發缺少規劃與把關，應該是一我的承擔一個功能從界面一直作到數據訪問，而且沒有人對代碼作審覈，這麼大的項目QA竟然沒有跟上；三是說明項目確定有趕工的狀況存在。

唉，鐵科院好歹也掛着「研究院」的名號，不能水平這麼差吧？仍是這項目真的是便宜外包出去的？真是不拿納稅人的錢當錢啊。