昨晚開始程序員圈子裡突然被陝西普通話等級查詢網刷屏，這個非常簡陋的網站為什麼突然引起大量程序員關注？當該網站的源代碼被打碼截圖發出後無疑引起無數程序員震驚，這個網站竟然把所有考生數據直接寫在源代碼裡！

也就是任何人不需要經過任何驗證直接查看源代碼即可訪問考生信息，無數碼農吐槽這個網站的程序員不負責任。

數據直接寫入源代碼是什麼操作？

正常情況下這類查詢網站需用戶輸入自己的信息然後提交查詢請求，核對信息無誤後服務器從數據庫裡返回數據。這種方式可以保證所有用戶只能查詢自己的信息，因為別人不知道用戶的數據因此無法也無法通過數據庫的驗證。而陝西省普通話水平測試查詢系統直接把考生關鍵信息放在源代碼裡，任何人查看源代碼後都可以直接查看數據。數據包括考生的照片、身份證號、准考證號、院校以及其他信息，這無疑會造成大量考生的隱私信息被直接洩露。

連源代碼都是複制百度知道的：

有網友經過查證後發現即便是這些簡單的靜態代碼都不是程序員自己寫的，而是複制2009年百度知道示例代碼。這些示例代碼由百度知道用戶  wrr717  在回答用戶提問時編寫的，可以實現按照不同的查詢內容跳轉到不同頁面。而負責開發陝西省普通話水平測試查詢系統的程序員直接複製這段代碼，然後把用戶數據寫入頁面裡進行跳轉等。這種查詢方式可能連程序員最基礎的知識都不知道，而這種人竟然還能開發這類考試結果查詢網站讓人匪夷所思。

圖像來自知乎@ NullPointer

不過網站真假暫時還有待驗證：

藍點網對該網站進行查詢後發現網站沒有備案服務器託管在香港，因此具體是否是陝西官方機構的網站暫不確定。同時我們查詢到目前陝西省普通話水平測試查詢系統主要是科大訊飛提供支持的，科大訊飛提供的網站沒有問題。

從源代碼裡我們可以看到這個洩露考生數據的網站頁面是從科大訊飛複製的，然後修改網頁源代碼寫入用戶數據。如果是好事者不太可能會直接拿到這麼多考生的數據，如果網站屬於黑客那麼黑客更不可能會直接公開這些數據。

所以綜合來看這個洩露考生數據的網站應該還是外包公司開發的，至於具體用途或者面向的用戶暫時也無法確定。目前已經有很多程序員前往工信部舉報這個網站洩露公民信息，域名暫時被西維數碼暫停解析但似乎還可以訪問。

網頁模板複製科大訊飛然後源代碼寫入數據：