大网站的数据真实性可靠么？——博客中国的bug

 今天上了个校内，有人分享了一篇日志，上面提到了一个网站：http://www.blogchina.com（博客中国），说有有很多人的经验可以分享，接着就颇感兴趣的点开，浏览一下，不经意间看见侧边栏木有一个关于“联合军演”的帖子，打开一看，写的很烂的那种，看见下面有“鲜花”和“砸蛋”的连个投票的地方！

就仍不住点了下“扔蛋”，可是鼠标没有移动开来，在“扔蛋”上面点了几次，发现数据都变了，很好奇，就看了看他的源码，很让人遗憾，投票是依靠一的javascript函数support(support)来控制的，这个函数就放在：

 

 

<script language="javascript" type="text/javascript" src="authorEdit/quiet/vip_bokee_20080622.js"></script>

 

 这个文件里面，这个文件就是依据：一部方式来写投票的，其函数如下：

 

function support(support)
{
	if(typeof(supportFlag)=='undefined' || supportFlag==1 || supportFlag=='')
	{
		xmlhttp.open("get",baseurl+'authorEdit/supportflag1.php?aid='+aid+'&support='+support+'&'+Math.random(),false);
		xmlhttp.send(null);
		t('articleSupportCount_'+support).innerHTML=xmlhttp.responseText;
		if(support==1)
		{
			t('articleSupportCount_11').innerHTML=t('articleSupportCount_1').innerHTML;
		}
	}
	else
	{
		alert('作者已设置本文章不允许“支持”或“反对”！');
	}
}

 

 将上面的函数体取出来，核心就是一句话：

 

 

http://www.blogchina.com/authorEdit/supportflag1.php?aid=979499&support=0&Math.random();

 其中：aid:代表文章的id，support:代表投票（1，支持，0，反对），后面是一个随机函数，相当于new Date();放置异步获得的数据唯一性的！

例如：http://www.blogchina.com/20100730979499.html 这篇文章的aid=979499，怎么获得呢？打开网页之后单击右键，查看源代码，直接搜索“aid”，会有如下结果：

 

<script>
var aid=979499;
var uid=1107669;
var penname='醴帛';
var domain='boolc.vip.bokee.com';
var articleDate='20100730';
var articleTime='11:29:51';
var articleDatetime='2010-07-30 11:29:51';
var articleAuthor='醴帛';
var commentFlag='1';
var supportFlag='1';
var articleTitle='军演的背后面，亚洲的转折点';
var articleKeyword='美韩军演、亚洲、军事';
</script>

 便获得了aid 数据！

将http://www.blogchina.com/authorEdit/supportflag1.php?aid=979499&support=0&Math.random();粘贴在浏览器的地址栏上，返回的就是投票的结果；

 

 

每次刷新这个地址，换回不同的统计数字，而且是 i++的规律，这个数字已经记录为投票结果！这样可行么？这样获得数据真实么？

如果我要鲜花，将其放置在一个循环中，我就要献多少花呢？或者是杂多少蛋呢？自己的文章，能刷到首页，永远保证在第一条！

可见，这代码bug，让人很难相信某些数据的真实性！

 

本文仅是从技术角度上说明问题，没有其他恶意！

 

 

 

 

 

 

 

评论

24 楼 volking 2010-08-07  

多研究研究3大门户网站有没有这个问题

23 楼 BestUpon 2010-08-06  

webee 写道

垃圾中的垃圾！

心存狗屎的人，和狗有什么区别？

22 楼 webee 2010-08-06  

垃圾中的垃圾！

21 楼 javabrother 2010-08-06  

QQ校友裏面的 日誌訪問量，自己就可以自己。

20 楼 BestUpon 2010-08-05  

yuan2006open 写道

谢斌？？谢斌？？谢斌？？谢斌？？

什么意思？是说谁是“谢斌”：NO..

19 楼 yuan2006open 2010-08-05  

谢斌？？谢斌？？谢斌？？谢斌？？

18 楼 jordan_micle 2010-08-05  

还是挺有意思的。。。

需求永远是主导啊。。。

17 楼 songlixiao 2010-08-05  

mercyblitz 写道

dennislyve 写道

把Math.random()写在地址栏有效果吗？

这是为了防止Ajax的URL被浏览器缓存了。

正解!!

16 楼 BestUpon 2010-08-04  

hijude 写道

做还是不做，那是商业价值决定的。
至于怎么做，那是体力劳动。

所以，才会有很多东西都是商业炒作出来的！真实性很让人发思。。

15 楼 BestUpon 2010-08-04  

dt27 写道

大哥，人家去看的是新闻，不是跟咱一样去研究代码
也没几个人会闲的去刷~o(╯□╰)o~

那道也是，我也去看新闻了，但是还是研究了下代码！

14 楼 yunmanfan 2010-08-04  

这些东西,让我做也肯定做一个"假"的.

13 楼 mercyblitz 2010-08-04  

dennislyve 写道

把Math.random()写在地址栏有效果吗？

这是为了防止Ajax的URL被浏览器缓存了。

12 楼 hijude 2010-08-04  

做还是不做，那是商业价值决定的。
至于怎么做，那是体力劳动。

11 楼 giginet 2010-08-04  

BestUpon 写道

giginet 写道

看实际需求。每次实时去查数据库，保留访问结果是无意义的，尤其是大批量数据库。一般都是前台追加cookie限制，有的就不限制了。这不算什么的。

复杂一点的，记录投票结果的，一般用在一些要求严格的投票上。一些简单的投票，实现思想也和这个差不多了。

使用http://www.blogchina.com/authorEdit/supportflag1.php?aid=979499&support=0&Math.random(); 的异步交互，恶搞的话，服务器的承受能力要有多好呢？

还是看实际需求。一般来说，这么设计是不会有问题的，普通访问量是足以支撑这么刷的，相当于你访问个动态网页呗。如果你是恶意去攻击，那不就是出现了XXX攻击某网站服务器，遭致网络瘫痪，一个道理。还不如发数据包更来的实在些。
事实上绝大多数网站的统计也都是这么设计的，等你到大访问量的时候，那再说大访问量的设计。过度设计，永远都是大忌。

10 楼 pochonlee 2010-08-04  

这样的站不止一家，很多门户都这样。什么“顶”一下，“踩”一下的，可以顶N下，踩N下。不足为奇。

9 楼 tvjody 2010-08-03  

如果文章排名显示在首页，且排名是靠“鲜花”数量降序排列的，那么，这个投票BUG就有很大作用了，将文章刷到首页，排在第一条，点击率自然高。

8 楼 dothwinds 2010-08-03  

就这种问题很多，想当年百度开放百度空间的时候还可以刷访问量。

7 楼 dt27 2010-08-03  

大哥，人家去看的是新闻，不是跟咱一样去研究代码
也没几个人会闲的去刷~o(╯□╰)o~

6 楼 dennislyve 2010-08-03  

把Math.random()写在地址栏有效果吗？

5 楼 BestUpon 2010-08-03  

giginet 写道

看实际需求。每次实时去查数据库，保留访问结果是无意义的，尤其是大批量数据库。一般都是前台追加cookie限制，有的就不限制了。这不算什么的。

复杂一点的，记录投票结果的，一般用在一些要求严格的投票上。一些简单的投票，实现思想也和这个差不多了。

使用http://www.blogchina.com/authorEdit/supportflag1.php?aid=979499&support=0&Math.random(); 的异步交互，恶搞的话，服务器的承受能力要有多好呢？