我的百度BAE相册被人SQL注入攻击

今天打开我的百度BAE相册（http://1.mawenjian.duapp.com/），发现照片中多了一个cc1.php的文件。因为php文件不能正常显示的缘故吧，所以这个文件显得格外显眼。这个文件给我的第一感觉就是——程序被攻击了！

说句实在的，因为我从新浪SAE移植这个程序的时候就马马虎虎的，再加上原来的程序中存在的一些漏洞，所以被攻击得手是很正常的事情了。

从攻击的原理来推测，我认为十有八九是SQL注入攻击。因为我的百度BAE相册URL中有好几个地方是暴露参数的，再加上当时只注意功能的实现，没注意对传递参数的合法性进行检测，所以被SQL注入的可能性最大。

好在我的PHP程序是运行在百度BAE平台上的，可执行的PHP文件必须通过SVN方式才能上传；而支持上传的百度云存储空间呢，则不支持执行PHP程序。所以，虽然我的程序被SQL注入成功了，但是意义也不大。纵使其攻破了我的管理后台的用户名和密码，也没什么大不了的，反正里面也没什么东西。要说最大的损失，莫过于得到了我的百度云存储的AK和SK了。但是也没事，大不了我重置一下AK和SK。

不过令我惊奇的是，这样一个时常不更新的破相册程序，居然也有朋友感兴趣，看来口味确实够独特的。莫非看上了首页的PR=1？不想了……