在阿里云上发现了一个输入%能显示多一点东西的地方，我这表述有问题么

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 4238 days ago, the information mentioned may be changed or developed.

问题描述：
在阿里云的：
线下汇款管理 >
无人认领款项 >
无人认领汇款查询
中输入'%'号就获取了大量的无人认领款项信息
这可能暗示了潜在漏洞
请自查

2014-10-05 17:28:03
您好，这本身是个查询平台，输入信息都可以看到的，但是款项录不到您会员中心，就跟万网的域名查询平台功能类似，请您放心，谢谢

款项

认领

汇款

9 replies • 2014-10-05 20:22:03 +08:00

wdlth

Oct 5, 2014

搜索型注入？

Showfom

PRO

Oct 5, 2014

只有个名字而已- - 别的信息没有

qiuai

PRO

Oct 5, 2014

又不知道金额.没法认领的.

pyshift

Oct 5, 2014

阿里会有搜索型注入吗，那也太low了

xoxo

Oct 5, 2014

想获得人家汇款的金额冒用？这是金融诈骗，重罪

iam36

Oct 5, 2014 via Android

SQL注入漏洞

wzxjohn

Oct 5, 2014 via iPhone

没啥意义，估计也就是没过滤百分号。关键是就如客服所说这些信息你看到也没用。。。就跟失物招领一样。。。你总不能失物招领还把所有东西都锁起来吧。

raincious

Oct 5, 2014

@iam36 很明显这不是注入漏洞。只是Wildcard未转译，是可靠性问题而不是安全问题。

话说SQL的Wildcard转义真的太纠结，原来我都是在搜索关键词的查询语句上做转义（将%删掉）。

后来搜索功能写多了烦了，才在SQL Builder上加入了规范的Wildcard转义方法，用!做转义字符。

实现起来就像这样：
https://github.com/raincious/facula/blob/master/src/Facula/Unit/Query/Operator/PgSQL.php#L452

参考：
http://stackoverflow.com/questions/4588424/searching-using-mysql-how-to-escape-wildcards

raincious

Oct 5, 2014

@raincious 嗯……修正下，是不是可靠性问题得看用在哪儿。