V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
junbaor
V2EX  ›  全球工单系统

echo 回声,你家报错了连表名字段都炸出来了

  •  2
     
  •   junbaor · 2017-08-31 14:53:27 +08:00 · 6373 次点击
    这是一个创建于 2666 天前的主题,其中的信息可能已经有所发展或是发生改变。

    35 条回复    2017-09-03 21:49:07 +08:00
    DaLe2017
        1
    DaLe2017  
       2017-08-31 15:04:38 +08:00
    这工单,估计要等很久的官方了
    BBCCBB
        2
    BBCCBB  
       2017-08-31 15:06:29 +08:00
    笑尿
    mimzy
        3
    mimzy  
       2017-08-31 15:09:09 +08:00
    @greenymora 也不知道船长还在不在这里
    b821025551b
        4
    b821025551b  
       2017-08-31 15:11:55 +08:00
    access_token 居然不是 hash。。。
    Sanko
        5
    Sanko  
       2017-08-31 15:12:16 +08:00 via Android
    哈哈哈
    wlh233
        6
    wlh233  
       2017-08-31 15:16:17 +08:00
    access_token 不会就是手机号吧?
    scys
        7
    scys  
       2017-08-31 15:31:48 +08:00
    这都行,token 是手机号码..............................................
    zhangneww
        8
    zhangneww  
       2017-08-31 16:16:03 +08:00
    曾经也想着下载玩玩,用微博登陆这货,在我不知情的情况下用我微博账户发了一条推广,当即卸载。
    jjplay
        9
    jjplay  
       2017-08-31 16:21:04 +08:00
    六百多万用户了 =。=
    Patrick95
        10
    Patrick95  
       2017-08-31 16:21:48 +08:00
    楼主什么时候注册的,根据 id 可以推算出实际用户量啊~
    Patrick95
        11
    Patrick95  
       2017-08-31 16:24:30 +08:00
    如果是近期注册的,那这张图的数据就不准了啊~

    https://i.loli.net/2017/08/31/59a7c7aa597db.png
    Haku
        12
    Haku  
       2017-08-31 16:24:46 +08:00
    这是多老掉牙的数据库注入的问题啊 233333
    undeflife
        13
    undeflife  
       2017-08-31 16:27:44 +08:00
    @Haku 错误信息没封装 不等于有注入漏洞
    rebill
        14
    rebill  
       2017-08-31 16:57:55 +08:00
    看着报错,像是 Yii
    66beta
        15
    66beta  
       2017-08-31 17:03:29 +08:00
    后端已经在收拾细软了吧
    reus
        16
    reus  
       2017-08-31 17:10:03 +08:00
    没什么关系,又不能注入,大惊小怪
    aksoft
        17
    aksoft  
       2017-08-31 17:12:18 +08:00
    跑路开始
    liu7833
        18
    liu7833  
       2017-08-31 17:12:40 +08:00
    差评 居然没把数据库密码地址也写进去
    silov
        19
    silov  
       2017-08-31 17:25:27 +08:00
    不是已经倒闭关门了么。。。
    lwldcr
        20
    lwldcr  
       2017-08-31 17:35:17 +08:00
    plartform_id。。。
    gdzzzyyy
        21
    gdzzzyyy  
       2017-08-31 18:42:31 +08:00
    @jjplay 也可能就是 6 开头呢。。。
    cxyfreedom
        22
    cxyfreedom  
       2017-08-31 19:40:42 +08:00 via iPhone
    这个真的厉害 还有这种操作...
    wzdbsss
        23
    wzdbsss  
       2017-08-31 19:58:34 +08:00 via Android
    后端要细软跑了
    orzfly
        24
    orzfly  
       2017-08-31 20:01:16 +08:00   ❤️ 1
    一看到 access_token,就觉得这个真的是 token 了?

    有没有看过表名字里的 open ?有没有想过,假如 sys_open_user 是一个用来关联第三方登陆和系统中用户的表……

    假如这个表结构是这样:id (关联 ID), platform (平台名称), platform_id (平台侧用户唯一标识符), access_token (平台侧访问密钥,比如 OAuth 里的 access_token)

    如果用微信登陆,那 platform 就写 wechat,微信大概会提供 OpenID 给你作为唯一标识符,那我 platform_id 就记录微信的 OpenID,然后微信的 OAuth 过程中也许会给我个 access_token,那我就把他给的 access_token 存下来。

    假如手机作为一种第三方登陆,那我 platform 可以写 mobile。因为手机号码是唯一标示符,那我可以用手机号码作为 platform_id。手机登陆不像 OAuth 有 access_token,那我 access_token 又不能为空,随便写个值不过分吧?

    然后呢,那个错误信息:

    > Duplicate entry 185xxxxxxxx, mobile for key `idx_pid_pf`.

    看起来是有一个叫做 idx_pid_pf 的索引,是对 (platform_id, platform) 做的 UNIQUE ……

    所以,真的有那么好笑嘛?

    (利益声明:我根本不知道 echo 回声是个什么东西……)
    wujunze
        25
    wujunze  
       2017-08-31 20:16:49 +08:00 via iPhone
    @orzfly 不知道 echo 回声是什么东西 +1
    TJT
        26
    TJT  
       2017-08-31 22:43:31 +08:00
    @Patrick95 图本身就有问题,估计写文案的是临时工。不到 8000 万 => 在这 8000 万的人里至少占了 10%。
    lizon
        27
    lizon  
       2017-09-01 00:38:39 +08:00
    跟注不注入没什么关系
    不管怎么说,sql 语句炸出来这个确实有问题,无脑返回错误信息,看错误信息用的 mysql 吧
    junbaor
        28
    junbaor  
    OP
       2017-09-01 09:54:31 +08:00
    @Patrick95 注册很早了,14 年左右吧,具体忘记了
    mark06
        29
    mark06  
       2017-09-01 10:29:35 +08:00
    是不是又要杀程序员祭天了?
    koiyora
        30
    koiyora  
       2017-09-01 10:44:06 +08:00
    PC 端吗?那我要告诉你这家公司 PC 端,截止到近期我离职,一共只招过 2 个开发,而且是分别,就是说每次都是一个开发来做一整个 PC 端。每个都是产品一边给设计稿一边做一边改 bug,做了 1.2 个月受不了就走了,你觉得能做成什么地步。哦还有,题外话,现在注册的 ID 超过 2000W,去 app 里新注册个号,个人页里就能看到自己的 ID
    junbaor
        31
    junbaor  
    OP
       2017-09-01 10:52:21 +08:00
    @koiyora 我去~ 当时还想着往这家投简历来着,后来发现产品越来越垃圾就转路人了
    koiyora
        32
    koiyora  
       2017-09-01 16:06:29 +08:00
    @junbaor 明智
    Suvence
        33
    Suvence  
       2017-09-01 17:12:46 +08:00
    pc 端?在哪里下载的?
    junbaor
        34
    junbaor  
    OP
       2017-09-02 09:49:44 +08:00
    @Suvence 截图是 web 端,PC 端根本不能用。
    mkeith
        35
    mkeith  
       2017-09-03 21:49:07 +08:00
    不是那个卖春药的吗
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3129 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:10 · PVG 21:10 · LAX 05:10 · JFK 08:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.