系统在密码找回的时候获取的email是从会员表里取出来的，而修改这个email地址的时候，会和保存在session里用户id进行校验的，A用户不能修改到B用户的email地址。”

感谢，确实存在注入漏洞，但该数据库中的数据全部是公开数据，不会有私密的数据，并且是用的数据库帐号没有写权限，不会损害到数据，所以危害程度极低”

很多人理解和评价‘漏洞’，是通过‘效果’来理解评价的。这样的理解是不科学的，尤其对于甲方来说。在我看来‘漏洞’的意义是给攻击者打开了一‘扇门’，至于攻击者通过这‘扇门’可以进多少‘房间’，那很多是取决于攻击者的水平。以前我写过一篇BLOG: 《黑客外面有黑客》也说明这个问题。

当然厂商这样的回复，不排除有“危机公关”故意这样回复的可能？