今天的发现特别离谱。
心意答查询成绩的接口只经过了一层双向加密,没有丝毫验证身份的手段,并且返回的数据也多于显示的数据,结果就是只要知道考试编号、科目编号和数字校园号就能直接查到这个人,以及他的班级详尽的成绩。
更有甚者,在线学习平台直接放出了全年级所有人的姓名和数字校园号的对照表,以至于只要知道姓名就能查出成绩来。
以及,它返回信息的模式属于能返则返,也就是说我不知道科目编号,可以直接放两百个进接口里,它还自动筛选出存在的科目编号;不知道考试编号也能一个一个试出来:就算考试和校园号完全对不上,它也会返回考试名称。对我们这些阴险的窃取者来说,这简直是太方便了。
只需要知道一个姓名,你历次考试的成绩就全都查出来,这就是信息泄露的危害...
查成绩的接口,这样的安全性不能说离谱,只能说是离谱至极。
除此之外,今天还把博客通过暴力粘贴的方式搬运过来了。
实现了添加化学式的操作,往里加了几个式子,但是对删除操作的处理非常纠结,因为 MySQL 的自增主键是不受删除影响的,删除一个元素后仍然占用着这个编号。
倒也有解决办法,就是强制覆盖自增的位置,但这样很难应对在序列中间删除的情况,所以删除功能基本是不会上线了,只能由我在后台自己维护。
实现了对数据库中化学方程式的查询,虽然目前数据库里只放了两个式子,但等我实现添加功能后会往里加的。
大量运用了正则表达式(没有你我活不了啊!)。
认识到了 SQL 注入的危害,并用简陋的手段做了防护。
折腾了半天,总算把网站放到公网上了。
为了方便,我大致梳理一下,原先只是在 schtonn.github.io 和 schtonn.gitee.io 上写博客,随后把实现的几个小功能拉起来拼凑了个页面。
后来gitee停止服务了,我又想学习学习后端开发,所以目前网站在 http://43.143.233.184/,应该会保持更新,不过暂时还没有购置域名的打算。
在首页加上了黑暗模式,以及非常愚蠢的秘密消息(其实更多是对 Bootstrap 响应式布局的测试)。
进一步完善按钮样式。
把化学式配平、相对质量计算的网页实现出来了,接下来还要加上 MySQL 的上传。
为所有按钮加上了好玩的悬浮样式。这可真不容易,为了去掉浏览器自带的丑陋黑色边框,我进行了不懈的斗争,最后发现是除了 :focus 和 :active 选择器,还得写上
:focus:active 。
近日研究了 Bootstrap 框架很多不错的设计,如按钮组团等,进行了应用。
今天开始尝试在本地搭建 MySQL 数据库。希望是日后能建起一个存放中学化学式的数据库。
有了小崔给的主机,开辟了很多新领域。
不用暴力地琢磨纯静态页面了,可以开始自己开发网页后端。刚起步,先用 Node.js+Express 做后端。写了个配平化学式的接口(/chemist?H2+O2=H2O)。
用 WebSocket 可以实现服务器与客户端的即时通讯,原先搭载在 LeanCloud 上的五子棋计算部分可以迁移到本地了。
开始记录。