最近對 VBS 字符串 Chr(0) 注①截斷討論得比較多，看來有必要介紹一下 VBS 字符串的內部實現。Demon 友情提示：本文需要一些 C 語言和 Windows 編程的知識，VBScript 初學者慎入。 

VBS 是基于微軟的 ActiveX/COM 技術實現的，而 COM 對象為了做到支持任何語言，定義了一系列通用的數據類型，微軟稱之為自動化對象類型（Automation data types），其中之一就是 BSTR。VBS 在內部是以 BSTR 來表示字符串的，BSTR 在 WTypes.h 中定義： 

從定義可以看出，BSTR 是指向 wchar_t 類型（也就是 C 語言中的 Unicode）的指針，但是 BSTR 并不是普通的 wchar_t 指針。標準 BSTR 指向一個有長度前綴和 NUL 結束符的 wchar_t 數組。BSTR 的前4字節是一個表示字符串長度的前綴。BSTR 長度域的值是字符串的字節數，并且不包括 NUL 結束符。常用的 BSTR 處理函數請參考 MSDN 文檔。

理論說的有點抽象，下面用代碼來說明：

這是一句很簡單的 VBS 代碼，但是 VBScript 解釋器在內部做了什么呢？其實就是初始化了一個 BSTR 變量（不考慮字符串連接過程）： 

橙色表示四個字節的長度前綴。紅色高亮表示 BSTR 指針的當前指向，藍色高亮表示字符串中的 Chr(0) 字符，綠色高亮表示 BSTR 的結束字符 NUL（該字符是 SysAllocStringLen 函數加上去的，因為是 Unicode，所以要占兩個字節）。也就是說，如果不考慮前面四個字節，BSTR 就是 C 語言中的 null-terminated string。 

再看一段 VBS 代碼： 

MsgBox Len(str)用 MsgBox 來顯示剛才定義的字符串長度，VBScript 解釋器內部又做了什么呢？是不是像 C 語言標準庫函數 strlen 一樣，遍歷整個字符串，以 NUL 作為字符串結束的標識呢？ 

答案顯然是否定的，因為字符串中含有 Chr(0)，如果像 strlen 這樣實現，那么就會被 Chr(0) 截斷，Len 函數應該返回5才對，然而實際上返回的是11這個正確的數字。 

VBS 的 Len 函數內部應該是這么實現的： 

或者不調用 Windows API，由于 BSTR 前4個字節前綴表示字符串的字節數（不包括結尾的 BUL 字符），所以只要移動一下指針就行了： 

可以看出，由于 BSTR 的長度可以通過前綴取得，并不需要以 NUL 來作為字符串結束符，也就是說，VBS 字符串是 binary safe （二進制安全）的。 

那么為什么下面的代碼只能顯示 Hello 呢？ 

MsgBox str這看起來好像和上面說的矛盾，其實不然。VBS 字符串的確是兼容 Chr(0) 字符的，MsgBox 之所以會被 Chr(0) 截斷，是因為 MsgBox 在內部調用了 MessageBox 函數，而該函數是以 NUL 作為字符串結束符的。 

也就是說，如果 VBS 內置的函數或者 COM 組件的某些方法在其內部實現中調的 Windows API 的字符串參數是以 NUL 作為結束符的話，就會被 Chr(0) 字符截斷。 

 

現在再去看《ASP/VBScript中CHR(0)的由來以及帶來的安全問題》、《ASP上傳漏洞之利用CHR(0)繞過擴展名檢測腳本》、《ASP缺陷—-一個特殊字符chr(0)》、《用Python腳本寫ASP頁面》，應該就不會有疑問了吧。

時間關系就不再展開了，如果你想了解更多關于 COM 組件的知識，我推薦你拜讀一下 Jeff Glatt 的神作《COM in plain C》。

僅以此文回答雨中風鈴的問題。

注①：本文中 Chr(0) 和 NUL 交替使用，表示同一個意思。

原文: http://demon.tw/programming/vbs-file-unicode.html