订票系统12306的低级问题
打开http://hyfw.12306.cn/hyinfo/action/ClcscxAction_index?cllx=G#,在自重里面输入" xxx';drop table "点击查询会出现错误,错误如下图所示,最低级的问题是他们的sql或者说hql都是拼凑出来的,难道那些开发人员都不懂什么是注入?其次居然还能看到调试信息,说明没有把开发模式关闭,第三有点疑问,从错误信息中可以看出系统使用了spring和hibernate,对于3亿访问量的系统来说这个架构是否会影响性能?
------解决方案--------------------
对于 3 亿访问量的话,使用 Spring 没啥,但是 Hibernate 就不敢苟同了!这是因为 Hibernate 的 ORM 性能实在太差,那种基本上没啥人用的项目用用还行,但是互联网应用要用这个,那就是搬起石头砸自己的脚!