杰拉斯的博客

摘要：铁道部旗下在线购票网站12306自诞生起就一直为人所诟病，网站经常崩溃、UI粗糙、漏洞满框，但这都不是什么新闻了，近日网友爆出12306的技术框架及其表结构，大家可以来一览究竟。

可以明确的是：

• 数据库： Oracle
• 应用服务器：WebLogic
• 开发框架：Spring\Hibernate\Struts
• 连接池：C3P0

这里可以看到完整的SQL语句：

SQL语句如下：
select * from TB_INFO_CLCS where flag='Y' and czdm='G' and ziz like '%6'%' order by cxdm

这句SQL有几个亮点：

• select *全表查询，会降低查询效率，只查询所需的列名可以减少查询数据，提高性能。
• like效率比较低，在数据量较大的情况下不适用。
• like '%6'%'说明没有过滤，存在SQL注入漏洞。

漏洞地址（已修复）：http://hyfw.12306.cn/hyinfo/action/ClcscxAction_clcscx?cllx=G&ziz=6'

图片来自：http://www.oschina.net/question/82993_71718

如需转载请注明出处：杰拉斯的博客