???? QQ用了好多年，但昨天才開通QQ空間，我一直感覺QQ空間太幼稚，太花，本身的博客系統(tǒng)也不成熟，
以前QQ空間是可以復(fù)制代碼進(jìn)行控制頁面的，同時騰訊也開放了一些端口，但現(xiàn)在呢？
?????? 其實這正是騰訊對QQ空間發(fā)展的一小步計劃罷了，起初沒有太多人用，鐘對的是年青人群，正好QQ空間可以通過一些腳本代碼來控制頁面的美觀和顯示，基本能讓用戶根據(jù)自己的喜好而定，這是當(dāng)時別的博客系統(tǒng)是沒有的，正是因為這一點，吸引了大量的人群。隨著注冊流量的增加，人氣自然不會少，但別的問題又出來了，大家都復(fù)制代碼，這對騰訊的服務(wù)器自然也是一個很大的問題，首先就是安全問題，這一點其實也是騰訊也不是傻瓜，一開始就預(yù)料到了，現(xiàn)在人氣足了，注冊量已經(jīng)達(dá)到了國內(nèi)博客系統(tǒng)之首，這時騰訊就把可以通過一些腳本代碼來控制頁面的功能關(guān)了，想向從前靠代碼美化頁面的日子已經(jīng)成為了歷史，如果你想讓自己的頁面更美，那就只能通過一些增值業(yè)務(wù)來進(jìn)行改變（如開通黃鉆，等），這正是騰訊一直期盼的----那就錢！！
??????好！言歸正傳.....

???? 因為占用內(nèi)存和CPU都比其實的版本相對少，所以一直用TM，但當(dāng)我昨天在TM面板上打開QQ空間想修改一篇日志的時候， 找了半天也找不到編輯的按鈕，真夠納悶的！難到我太笨了？我用朋友的電腦登陸QQ，同樣在QQ面板上直接打開空間，卻可以在日志首頁看到編輯按鈕，問題出來了！
??????為什么會這樣呢？同為B/S系統(tǒng)，同一個公司的軟件，而且是同一個用戶的QQ號的空間，打開空間卻有不同的結(jié)果，造成這樣的原因只有一個問題，那就是同一個軟件不同版本進(jìn)行傳參數(shù)的時候出了問題，不過像這種低級錯誤我認(rèn)為不應(yīng)該在騰訊的軟件中出現(xiàn)。可猜想，開發(fā)TM和別的版本應(yīng)該不是一個團(tuán)隊，至少在這個傳參數(shù)的問題上是出了問題。

下面我們就來分析一下TM和普通版本傳參給QQ空間的地址吧:
1>這是普通版本傳參給QQ空間的地址
http://imgcache.qq.com/qzone/jump.html#zzpanelkey=D76BB888ED41895662E68973DAED10CCF59E08AF46E37E51CC631538FFAF4CB3&zzpaneluin=39394839&url=http%3A%2F%2Fuser.qzone.qq.com%2F39394839

2>這是TM版本傳參給QQ空間的地址
http://imgcache.qq.com/qzone/jump.html#zzpanelkey=59BF32291B5D533ED6C2917171DE71414DB0AE687A756470E82787E1E32BF7AA&zzpaneluin=39394839&url=http://user.qzone.qq.com/39394839

有什么不同？我們可以看出zzpanelkey的值是不同的，url的值似乎也不同？其實這個是一樣的。
我們可以知道zzpanelkey的參數(shù)就是傳給服務(wù)器上的這個頁面<http://imgcache.qq.com/qzone/jump.html>，當(dāng)這個頁面接收到參數(shù)的值后再返回某些值給當(dāng)前用戶的瀏覽器，因為最后接受值的不同，就出現(xiàn)了我上面說的問題！
????????這時我們想，既然zzpanelkey保留了一些可用的參數(shù)，是不是可以保存下來，當(dāng)不從QQ面板上打開空間也同樣有權(quán)限進(jìn)入自己的空間呢？
???????? 我試了一下，正是所預(yù)料的！這樣的話，如果別人在你的QQ面板上點了你的QQ空間，再把瀏覽器里的值復(fù)制下來保存，那就不管什么時候只要在你的機子上他都進(jìn)入你的QQ空間進(jìn)行管理，嚇人吧！！！

??????????如果這時把自己的QQ號改成別的人QQ號又會出現(xiàn)什么情況呢？哈哈，發(fā)現(xiàn)了沒有？在QQ空間的工具條上出現(xiàn)了對方QQ的名字！這樣我們可以看出當(dāng)你這樣傳值的時候，QQ空間是通過你的號子進(jìn)行判斷返回值的，而不是zzpanelkey的值進(jìn)行判斷！！而且如果對方的QQ空間要進(jìn)行密碼判斷能進(jìn)入的情況下，他也能返回值，但這時的值卻不是對方QQ的名字，而是對方QQ空間的連接地址！我記得類似的問題以前工行網(wǎng)銀也出現(xiàn)過，這是典型的不對用戶訪問的地址、參數(shù)和值不進(jìn)行嚴(yán)格判斷的結(jié)果！！
?????? 這樣看來，QQ空間這個博客系統(tǒng)的確還不夠成熟，到底zzpanelkey中的16進(jìn)制數(shù)傳遞的值到底對應(yīng)了哪些值，下次有時間再認(rèn)真研究一下，開始我以為存的是IP地址，但我試著離線一下，再上線后zzpanelkey的值就改變了，這說明這其中應(yīng)該就是一些標(biāo)識用戶狀態(tài)和要服務(wù)端響應(yīng)后返回給瀏覽器的值，毫無疑問！這值是相當(dāng)重要的，如果能知道zzpanelkey的每一個值對應(yīng)的功能的話，哈哈！那所有的QQ空間的用戶都能控制了.........
?????? 以上問題，只是初探的結(jié)果.............
??????<操作過程中的圖，下次有時間再貼上>

好了，今天就寫到這里，明天還要考試，應(yīng)該語言有些不通順......


我測試的環(huán)境是：
TM:2008
QQ:2007
瀏覽器：IE6.0
操作系統(tǒng)：英文XP-SP2