如果在某个论坛没有权限删除某个帖子的时候,会出现一个错误提示
http://www.xxxxx.net/club/showerr.asp?BoardID=2&ErrCodes=6&action=%B6%F1%B9%E0%C2%FA%D3%AA%2D%B1%E0%BC%AD%CC%FB%D7%D3
注意这个%B6%F1%B9%E0%C2%FA%D3%AA%2D%B1%E0%BC%AD%CC%FB%D7%D3,这是IIS的unicode解释汉字的数字值,如果我改为
http://www.xxxxxx.net/club/showerr.asp?BoardID=2&ErrCodes=6&action=%FF%FF
那么会出现一个" "的空格,注意这个不是空格,而是unicode解释出来的所谓的空格
那么我在注册ID时候,可以跳过注册的验证,因为验证的脚本程序没有过滤掉这个 " ",虽然已经过滤了空格,所以我仍然可以正常注册,如果我冒用了某个人的ID+" "
那么后果不言而喻了。一般人看到的是跟别人一样的ID。
最新发现为只要是unicode解释不出来的,都作为 " "来处理,这应该是IIS系统unicode解释汉字的BUG。...[ 查看全文 ]