发现论坛后台的“词语过滤”功能，存在漏洞，别人可以绕开词语检测，可以随便发内容

brfxtiw · 发表于 2013-2-13 07:41:50

我在后台设置了词语过滤。比如“发票”

  我自己注册号试了，发送标题包含了这２个字，就需要审核，不能直接显示出来。

  但是我发现，有别人，，在同样的版面，同样的用户组，　他发的内容标题虽然是包含“发票”２个字。就是包括这“发票”这２个字，没有空格，没有特殊字符, 可是他可以不用审核就直接把帖子发出来并显示出来。　词语过滤功能，对他不起作用


  后来，我仔细看了下对方发出的html代码：　　原来是用特殊代码发出来的：

  “发&#31080”　　该代码后面再加上个分号，　显示出来就是“发票”，　以此类推，估计凡是这样代码转换出来的字，都是可以随便发出来的。

  希望论坛词语过滤的程序，能升级一下，，把这样代码表示的，也纳入到过滤的范围中来。　否则这样的漏洞被人利用，别人还是想发什么就发什么。