淚笑

这道题其实是考jsp和java的，我没学过jsp，java倒是有一点了解，但是刚拿到题的时候还是看不懂java代码里的内容，所以去简单学习了下jsp（jsp教程），按照教程里的步骤搭建了eclipse 环境并打开这道题提供的项目源码在本地进行调试，然后又去百度了源码中的各个java函数，大致理解了整

首先观察这个web应用的功能，可以任意留言，也可以搜索留言，当然我还用cansina扫描过网站，查看过源码，抓包查看过header等。没发现其他提示的情况下断定这就是个sql注入，可能存在的注入点呢，就是留言时产生 insert into 注入，或者搜索时产生的 like '%xx%' 注入。经过多