一位开发者出于好奇用phpmysqlemailregister作为关键字搜索谷歌。很明显,这是为了了解如何使用PHP和MySQL来实现邮箱注册的功能。搜索结果返回教程、操作方法、代码片段等。但是,大部分结果都包含错误的SQL语句,例如://Don'tdothis!mysqli_query("SELECT*FROMuserWHEREid='".$_POST["user']."'");根据Google搜索的安排结果,这些SQL语句大致可以分为四种:SQL查询中的所有参数都进行了转义只有在绝对必要的时候才对传入的参数进行转义作者尝试进行了部分转义,但是存在漏洞没有任何转义逻辑开发者说当他在一个搜索结果中发现一个有问题的SQL语句时,他会跳到浏览下一个结果。上面是按照这个过程整理出来的30个搜索结果,其中一些答案包含SQL注入语句。在他看来,大多数Google搜索结果质量很差,有些搜索结果是通过SEO优化排名第一的“狗屁”教程,同时这篇文章也引起了程序员的广泛讨论(reddit,HackerNews),但是重点f大家的目光也转移到了PHP这门编程语言上。但作者的本意是希望程序员能够识别任何在互联网上随手可得的信息。SEO优化和排名靠前的搜索结果,因为它们往往是“雷区”。本文转自OSCHINA文章标题:4个字,谷歌返回16个SQL注入漏洞文章地址:https://www.oschina.net/news/152311/16-of-30-google-results-contain-sql-injection
