发现论坛后台的“词语过滤”功能，存在漏洞，别人可以绕开词语检测，可以随便发内容

我在后台设置了词语过滤。比如“发票”

我自己注册号试了，发送标题包含了这２个字，就需要审核，不能直接显示出来。

但是我发现，有别人，，在同样的版面，同样的用户组，　他发的内容标题虽然是包含“发票”２个字。就是包括这“发票”这２个字，没有空格，没有特殊字符, 可是他可以不用审核就直接把帖子发出来并显示出来。　词语过滤功能，对他不起作用


后来，我仔细看了下对方发出的html代码：　　原来是用特殊代码发出来的：

“发&#31080”　　该代码后面再加上个分号，　显示出来就是“发票”，　以此类推，估计凡是这样代码转换出来的字，都是可以随便发出来的。

希望论坛词语过滤的程序，能升级一下，，把这样代码表示的，也纳入到过滤的范围中来。　否则这样的漏洞被人利用，别人还是想发什么就发什么。

建议官方可以写个js进行浏览器端,延时检测与过滤,这样有效利用众人机器进行做有用事罗.

已反馈

现在zhaoxiao姐的帖子都是这样发，我直接过滤了&#这种字符。

这个霸气哦~

这是繁体在简体下的乱码哦。。参看这个帖子：https://discuz.dismall.com/thread-3213764-1-1.html

测试 发票

单独一个 &#  无法屏蔽，
于是屏蔽这样的  &#*；
就ok了

发票

发票
看看能不能发出来