最近對(duì) VBS 字符串 Chr(0) 注①截?cái)嘤懻摰帽容^多，看來(lái)有必要介紹一下 VBS 字符串的內(nèi)部實(shí)現(xiàn)。Demon 友情提示：本文需要一些 C 語(yǔ)言和 Windows 編程的知識(shí)，VBScript 初學(xué)者慎入。

VBS 是基于微軟的 ActiveX/COM 技術(shù)實(shí)現(xiàn)的，而 COM 對(duì)象為了做到支持任何語(yǔ)言，定義了一系列通用的數(shù)據(jù)類型，微軟稱之為自動(dòng)化對(duì)象類型（Automation data types），其中之一就是 BSTR。VBS 在內(nèi)部是以 BSTR 來(lái)表示字符串的，BSTR 在 WTypes.h 中定義：

從定義可以看出，BSTR 是指向 wchar_t 類型（也就是 C 語(yǔ)言中的 Unicode）的指針，但是 BSTR 并不是普通的 wchar_t 指針。標(biāo)準(zhǔn) BSTR 指向一個(gè)有長(zhǎng)度前綴和 NUL 結(jié)束符的 wchar_t 數(shù)組。BSTR 的前4字節(jié)是一個(gè)表示字符串長(zhǎng)度的前綴。BSTR 長(zhǎng)度域的值是字符串的字節(jié)數(shù)，并且不包括 NUL 結(jié)束符。常用的 BSTR 處理函數(shù)請(qǐng)參考 MSDN 文檔。

理論說(shuō)的有點(diǎn)抽象，下面用代碼來(lái)說(shuō)明：

這是一句很簡(jiǎn)單的 VBS 代碼，但是 VBScript 解釋器在內(nèi)部做了什么呢？其實(shí)就是初始化了一個(gè) BSTR 變量（不考慮字符串連接過(guò)程）：

橙色表示四個(gè)字節(jié)的長(zhǎng)度前綴。紅色高亮表示 BSTR 指針的當(dāng)前指向，藍(lán)色高亮表示字符串中的 Chr(0) 字符，綠色高亮表示 BSTR 的結(jié)束字符 NUL（該字符是 SysAllocStringLen 函數(shù)加上去的，因?yàn)槭?Unicode，所以要占兩個(gè)字節(jié)）。也就是說(shuō)，如果不考慮前面四個(gè)字節(jié)，BSTR 就是 C 語(yǔ)言中的 null-terminated string。

再看一段 VBS 代碼：

MsgBox Len(str)用 MsgBox 來(lái)顯示剛才定義的字符串長(zhǎng)度，VBScript 解釋器內(nèi)部又做了什么呢？是不是像 C 語(yǔ)言標(biāo)準(zhǔn)庫(kù)函數(shù) strlen 一樣，遍歷整個(gè)字符串，以 NUL 作為字符串結(jié)束的標(biāo)識(shí)呢？

答案顯然是否定的，因?yàn)樽址泻?Chr(0)，如果像 strlen 這樣實(shí)現(xiàn)，那么就會(huì)被 Chr(0) 截?cái)?，Len 函數(shù)應(yīng)該返回5才對(duì)，然而實(shí)際上返回的是11這個(gè)正確的數(shù)字。

VBS 的 Len 函數(shù)內(nèi)部應(yīng)該是這么實(shí)現(xiàn)的：

或者不調(diào)用 Windows API，由于 BSTR 前4個(gè)字節(jié)前綴表示字符串的字節(jié)數(shù)（不包括結(jié)尾的 BUL 字符），所以只要移動(dòng)一下指針就行了：

可以看出，由于 BSTR 的長(zhǎng)度可以通過(guò)前綴取得，并不需要以 NUL 來(lái)作為字符串結(jié)束符，也就是說(shuō)，VBS 字符串是 binary safe （二進(jìn)制安全）的。

那么為什么下面的代碼只能顯示 Hello 呢？

MsgBox str這看起來(lái)好像和上面說(shuō)的矛盾，其實(shí)不然。VBS 字符串的確是兼容 Chr(0) 字符的，MsgBox 之所以會(huì)被 Chr(0) 截?cái)?，是因?yàn)?MsgBox 在內(nèi)部調(diào)用了 MessageBox 函數(shù)，而該函數(shù)是以 NUL 作為字符串結(jié)束符的。

也就是說(shuō)，如果 VBS 內(nèi)置的函數(shù)或者 COM 組件的某些方法在其內(nèi)部實(shí)現(xiàn)中調(diào)的 Windows API 的字符串參數(shù)是以 NUL 作為結(jié)束符的話，就會(huì)被 Chr(0) 字符截?cái)唷?

現(xiàn)在再去看《ASP/VBScript中CHR(0)的由來(lái)以及帶來(lái)的安全問(wèn)題》、《ASP上傳漏洞之利用CHR(0)繞過(guò)擴(kuò)展名檢測(cè)腳本》、《ASP缺陷—-一個(gè)特殊字符chr(0)》、《用Python腳本寫ASP頁(yè)面》，應(yīng)該就不會(huì)有疑問(wèn)了吧。

時(shí)間關(guān)系就不再展開了，如果你想了解更多關(guān)于 COM 組件的知識(shí)，我推薦你拜讀一下 Jeff Glatt 的神作《COM in plain C》。

僅以此文回答雨中風(fēng)鈴的問(wèn)題。

注①：本文中 Chr(0) 和 NUL 交替使用，表示同一個(gè)意思。

原文: http://demon.tw/programming/vbs-file-unicode.html