实习周记：在代码里找感觉的日子 这周五的下午，阳光正好，正好适合去图书馆。刚走出大门就看到楼下的网吧开了，全是那种挂着“网吧”两个大字招牌的，塑料感特别强，但里面的人脚不沾地。我偏不信邪，一脚跨进去。 前台小哥根本不敢抬头看我，眼神飘忽，手里还拿着刚打印出来的《网吧治安管理处罚条例》，上面密密麻麻写着各种免死金牌似的条款，比如“只要进了网吧就绝对保险”。他一脸严肃地递给我一张单子，让我把身份证交上去。我说我是来实习的，他想把我打发走，我摆手回绝，说我有事。结局他看我不顺眼，直接把我按在椅子上，嘴里念叨着“这里规矩挺多，别乱来”。 我一边被拘着，一边看监控画面，屏幕上显示着我不小心按下了“不准吸烟”，那个红色的警告灯亮了一秒，别看信号不好，但我也没看错。

本来还能挑挑拣拣，结局监控一关，我就得听他指挥。他让我把某家连锁网吧的充值记录调出来，看有没有异常花。我说你要干嘛？他说你要找漏洞。

我心想这俩词子是差不多意思吧，便打开系统，随意找找。 果然，一个用户出于没充钱被踢出，瞬间进不去，但系统日志里显示他当时支付成功了，只是没充值。我盯着屏幕，手指头头悬在键盘上半天，才想起我要找的是数据异常。结局他翻来覆去看了半小时，就是没找到异常，只能吹着空调等我还莫得事儿。 理论课上学那套漏洞分析模型忒完美了，如何一到实际就是个扯淡。我本来还能试着去抓个热点漏洞，比如某个网页里用了弱口令，结局那个网站是公开的，随意搜都能搜到，根本没人用弱口令，全是强密码。我又去翻数据库，发现用户数据是加密的，要加密库密码才能看。

这哪是找漏洞啊，这分明是找保安哪。 后来我找了个管理员，问他说：“我想找点好玩的漏洞，你给来点？”他头也不抬，说：“内容忒敏感，写不出来。”我急了：“那你要让我写不出来，我是不是就不写了？”他沉默了待会儿，说：“那你写一个，看能不能过。” 我当场就写了个 SQL 注入脚本，故意在后台 insert 一段带注释的恶意代码。管理员一看，吓了一大跳，说这个数据肯定会被锁，下次得重新建表。我当时就急了，说那不中，我要看看他反应，我说：“我写的是注入，但这数据已经锁定了，你没法修，只能换一个。” 他听完，眼神有点飘忽，说：“那你得换个思路，换个表名，换个数据源。”我说：“行，那我试试。” 结局他说：“这个表结构忒死板了，没法改，你就只能换个数据库了。” 我本来想去找点别的，比如网络延迟的难题，结局系统配置了挺久，延迟一直飘在 1000ms 左右，快挂掉了。我连查原理都懒得查，直接改配置。结局改完发现根本降不下来，反而出于改了某些参数的层级，害得整个系统卡顿得更了得。 本来想找点有价值的东西，最终发现全是坑。我就连都不知道自己到底是在实习，还是在甲方嘴里当个提难题的。公司安排的那个产品经理，也跟我差不多，每天坐在办公室里画原型图，说是要设计个“智能排班系统”。

后来聊天的时候发现，他所谓的智能，实际上就是根据人天工作量的大小，把人和岗的坑位匹配好，真智能个鬼。 周末的晚上，我和几个同事在宿舍凑一块儿，没人讲话，只有电脑风扇吱呀吱呀地转。我把上周写的代码和项目盘算摆出来，随意聊两句。我提到那个 SQL 注入脚本，说要是不处理好副功能，用户点进去可能会显示假数据，就连被黑客利用。他们一听就笑了，说“那得靠专家了”，“毕竟写代码的忒少了”。 实际上我们也不是专家，只是学生，懂点皮毛，不懂原理。但在这个行业里，能亲手摸到真的代码逻辑，能遇到那些真正会出难题的地方，比坐在教室里背了半年的教科书可好多了。

哪怕最终项目还在烂尾，能写出点东西，也比空手回去强。 实习的第一周，我认定自己就是个透明人，像个开盲盒一样，不知道能挖到啥。但好在，别看全是坑，别看有时候还得被保安按着，但起码能感觉到脚下这片代码的土壤是真的。赶明儿要是能留下来，希望能帮他们把那些所谓的“漏洞”修修补补，别看可能修不好，但总比让数据全给坏人用要好。 明天还得早起，去收拾一下东西，预备下一天的行程。

不知道这次实习能不能让我真正看到一点东西，不过目前的感觉，还挺带劲的。