摘要:
通过几个真实的故事讨论一下权限设计中几个常见问题。1 在某大学研究生网站查询考研分数 那年媳妇报考某大学的研究生,经过紧张的半年,终于可以查询成绩了,输入姓名、准考证号和身份证号后,查到成绩是371分,和以往比较,分数很玄,不知道其他人水平怎么样。我想能不能通过Sql注入的方式查查其他人的分数,试了几个简单的特殊字符,很快就摸到规律,顺利查询前后40多个人的分数,比较了比较,感觉371分偏低,结果也确实是没有达到录取分数线。 当时在媳妇面前可是得意了一把。我怀着极大的善意和期待将这个发现以邮件方式发给了网站上的邮箱,以为会有答复,至少会感谢一翻,结果好几个月过去了,没有任何动静,网站上的那 阅读全文
posted @ 2011-01-19 21:27 刘政道 阅读(621) 评论(2) 推荐(3) 编辑