昨晚，程序员圈突然被陕西普通话等级查询网席卷。为什么这个非常粗糙的网站突然吸引了大量程序员的注意？当网站的源代码被打印出来，截屏被发送出去，这无疑震惊了无数程序员。该网站实际上直接在源代码中写下了所有考生的数据！

也就是说，任何人都可以通过直接查看源代码来访问考生信息，而无需任何验证。无数代码农抱怨这个网站的程序员不负责任。将

数据直接写入源代码的操作是什么？

正常情况下，这种查询网站要求用户输入自己的信息，然后提交查询请求。检查信息是否正确后，服务器从数据库���回数据。这种方法可以确保所有用户只能查询自己的信息，因为其他人不知道用户的数据，所以他们不能也不能通过数据库的验证。然而，陕西普通话水平测试查询系统将考生的关键信息直接输入源代码，任何人在查看源代码后都可以直接查看数据。这些数据包括考生的照片、身份证号码、准考证号码、大学等信息，这无疑会导致大量考生的隐私信息被直接披露。

连源代码都是百度知道的复制过来的:

经过检查，一些网民发现连这些简单的静态代码都不是程序员自己编写的，而是复制了百度在2009年知道的样本代码。这些示例代码由百度知道用户wrr717在回答用户问题时编写，可以根据不同的查询内容跳转到不同的页面。负责开发陕西普通话水平测试查询系统的程序员直接复制这段代码，然后将用户数据写入页面进行跳转。这种查询方法甚至可能不知道程序员的基本知识，难以想象这样一个人甚至可以开发这样一个考试成绩查询网站。

Image from zhhu

NullPointer

然而，该网站的真实性目前尚待核实:

Blue Dot.com发现该网站并非由香港的备案服务器托管，因此是否为陕西官方机构的网站目前还不确定。同时，我们发现目前陕西普通话水平测试查询系统主要由HKUST迅飞支持，HKUST迅飞提供的网站没有问题。

从源代码中，我们可以看到泄露考生数据的网页是从HKUST迅飞复制过来的，然后网页的源代码被修改成写用户数据。窥探他人的人不太可能直接获得这么多候选人的数据。如果网站属于黑客，黑客直接披露数据的可能性就更小了。

所以总体而言，泄露考生数据的网站仍应由外包公司开发，具体目的或目标用户暂时无法确定。目前，许多程序员已经去工业和信息化部报告说，该网站披露了公民信息。该域名已被四维数码暂时挂起，但似乎仍可访问。

web模板复制hkust fly并在源代码中写入数据: