一年前我選擇和幾個朋友一起創(chuàng)業(yè)。那個時候手上已經(jīng)有好幾份薪水非常誘人的offer，不過能自己和信賴的朋友一起做喜歡的事情，我覺得更棒。

決定去BlackHat的時候已經(jīng)是2015年6月，當時，BlackHat除了Arsenal以外所有的議題征集已經(jīng)結束。也感謝當時的陰差陽錯。我們的目的是想要給SQLChop找一塊試金石，所以這150分鐘的交流和現(xiàn)場測試對SQLChop非常有意義。

拉斯維加斯時間8月5日下午，我剛剛進入展位還在和公司的同事一起整理的時候，就看到人群蜂擁而至，嚇得我趕緊整理思路開始講解。

現(xiàn)場的大家對SQLChop十分感興趣。尤其是ToolsWatch的負責人Ouchn，非常有趣的一個boy，自從看了我們的小視頻之后一直關注著我們，強行要合影。當然，也有不少國內的同行前來捧場，非常感謝大家的支持。

在這150分鐘里，我們做了什么呢?

1：發(fā)了幾百份小禮品

拿到小禮品的人們總會把玩一會兒然后小心翼翼地裝起來，看來全世界黑客都喜歡我們長亭科技準備的小燈，還寫了一段bash腳本用OS X自帶的小程序say來不停地講“Free gift here”。

2：把SQLChop是干什么的，優(yōu)勢在哪里講了好多遍

人群一波一波地來，就得一遍一遍地講，雖然英語口語還算過得去，但有時候說到一些問題的時候還是會有些卡殼，還得多練習。

3：接受了多名黑客的徒手測試

在現(xiàn)場接受測試，這是一件風險很大的事，對全世界那么多優(yōu)秀的黑客談論防御，一不小心就會成為笑柄。

所幸SQLChop表現(xiàn)非常棒，這次的“試金”效果也很好。

“Quite different from the regex one”

“Awesome tool”

“It's very smart”

收到了很多的夸獎。

4：回答了幾個問題

大家比較關心的幾個問題，

Q: 能實時不?效率咋樣?

A：能，單線程10000請求/秒。

Q：是靠正則實現(xiàn)的不?

A：不是不是，是用了詞法分析和語法分析，通過近似算法實現(xiàn)了一個SQL語句片段分析引擎。

Q：太好了，去哪可以用?

A：http://sqlchop.chaitin.com

150分鐘結束后，發(fā)現(xiàn)自己已經(jīng)不會說中文了，十分感動。

有碰到前輩跟我講“小伙子們不錯啊，自己搞了一年就能把自己的產(chǎn)品帶上BlakcHat”，但我看來，我們要走的路還有很長，我們也想給安全行業(yè)帶來更多的技術改變。

當然，之前承諾會放出SQLChop的beta版可以前往http://sqlchop.chaitin.com/進行測試與下載。

SQLChop的深度剖析文章地址：http://blog.chaitin.com/sqlchop-the-sqli-detection-engine/