如果你在上海，并且坐過地鐵的話，你肯定知道jjdd.com。

這個網站和百合，世紀佳緣類似，都是交朋友的性質。

在jjdd.com中有個很重要的功能：如果你上傳的照片比你想看的人少的話，你是不能看她的照片的。

例如如果你登錄了,并且點擊”個人形象照的話”

?

一般人碰到這里，就會自然而然的有兩種選擇：

1：算了，不看了。

2：那我就多上傳幾張照片，從而可以看別人的照片。

如果你打算選擇2的話，提醒你的是jjdd的照片是需要審核的。

?

故事到此先告一段落。

?

打開http://www.jjdd.com/.可以看到。

?

首頁有很多的頭像，任意點擊頭像，就可以查看到詳細：

在這個頁面點擊“個人形象照”。神奇的事情發生了，你竟然可以看別人的照片。

?

針對這個問題，我起初認為可能是業務要求，即：首頁上的用戶可以被用戶查看照片。

可是這個不成立啊，因為首頁上的用戶是隨機出現的。

?

深入探究：

為了知道這個問題的答案，我找到了“個人形象照”的點擊按鈕事件：

<a οnclick=")" style="position: relative;z-index:1;"><img src="http://img1.jjdd.com/c80/66/1e/661ee43b3be914627a39087bc7aec767.jpg" title="點擊查看大圖" class="face_s2_b2"></a>

?

細心的你看到這個show_nophoto_tips里面的'/home/new_photo/?uid=32780655&gid=1265988&pid=1778845'。你認為這個是什么東東呢？

?

沒錯，這就是我們要看的mm的照片地址。完整的地址是：

http://www.jjdd.com/home/new_photo/?uid=32780655&gid=1265988&pid=1778845

?

打開這個地址，你會看到神奇的東西。

?

沒錯，這就是jjdd.com 的程序員 為屌絲程序員準備的禮物，他們是故意不在打開這個頁面的時候做驗證的。他們的驗證是前臺的。我沒有深入show_nophoto_tips 函數，看里面的實現，不過這個函數我認為就是獲取用戶當前照片數，接著和我們要看的人進行對比。

?

可惜的是：他只做了前臺驗證。。

?

最后再啰嗦一句，如果上面的照片侵犯了您的權益，請及時通知本人，本人會真誠的道歉，并且刪除該照片的。

本文轉自LoveJenny博客園博客，原文鏈接：http://www.cnblogs.com/LoveJenny/archive/2012/06/29/2568969.html，如需轉載請自行聯系原作者