关键词：铁道部、1.9亿、12306、select *、like %%

2012 年 9 月 27 日

Just1n

http://weibo.com/1495169251/yDOqZChg9

http://www.wooyun.org/bugs/wooyun-2010-012758

5200 次点击

所在节点

分享发现

14 条回复

x86

2012 年 9 月 27 日

还记得当年的绿坝吗

Air_Mu

2012 年 9 月 27 日

虽不明仍觉利

nigelvon

2012 年 9 月 27 日

关键不是like%%，关键是sql是直接字符串连接，没有对引号转义。

twm

2012 年 9 月 27 日

实习生写出来的？还是临时工？

dongbeta

2012 年 9 月 27 日

你们都错了，亮点在 “今天 15:02 来自360安全浏览器 ”

summerblue52

2012 年 9 月 27 日

googog

2012 年 9 月 27 日

留名

napoleonu

2012 年 9 月 27 日

自重：6
载重：6%' or 1=1 or ziz like 'a

select * from TB_INFO_CLCS where flag = 'Y' and czdm ='G' and ziz like '%6%' and zaz like '%6%' or 1=1 or ziz like 'a%' order by cxdm

一个很小的表，才200多行，like也无所谓。

CoX

2012 年 9 月 27 日

@dongbeta 这个我也有看到

sun019

2012 年 9 月 27 日

这个是另外个系统吧和订票系统貌似无关啊

zxwind

2012 年 9 月 27 日

其实我最想说的是自重不应该是个数值数据么

clowwindy

2012 年 9 月 27 日

Hibernate 都能用成这样，佩服。

snail2

2012 年 9 月 27 日

2012-09-27 18:14 | Vi0lent ( 普通白帽子 | Rank:131 漏洞数:14 | hello fuck~) 0
这其实是个励志故事，告诉我们只要坚持，在烂的程序员都可以写到亿级别的项目的.鉴定完毕！

falconeye

2012 年 9 月 28 日

昨天一个朋友离职了，跟说，老板根本不在乎项目做的怎么样，做成啥样他都能拿钱，他在乎的是成本！成本！

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/48856

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.