GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节，实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符（一字节）的现象，
比如，下面这个PHP示例，在magic_quotes_gpc=On的情况下，如何触发XSS？

<?php header("Content-Type: text/html;charset=GBK"); ?>

<head>

<title>gb xss</title>

</head>

<script> a="<?php echo $_GET['x'];?>";

</script>

我们会想到，需要闭合双引号才行，如果只是提交如下语句：

gb.php?x=1";alert(1)//

双引号会被转义成\"，导致闭合失败：

a="1\";alert(1)//";

由于这个网页头部响应指明了这是GBK编码，GBK编码第一字节（高字节）的范围是0x81～0xFE，第二字节（低字节）的范围是0x40～0x7E与0x80～0xFE

gb.php?x=1%81";alert(1)//

双引号会继续被转义成\"，最终如下：

a="1[0x81]\";alert(1)//";

[0x81]\组成了一个合法字符，于是之后的双引号就会产生闭合，这样我们就成功触发了XSS。

要注意的是，GB2312是被GBK兼容的，它的高位范围是0xA1～0xF7，低位范围是0xA1～0xFE（0x5C不在该范围内），把上面的PHP代码的GBK改为GB2312，在浏览器中处理行为同GBK，也许是由于GBK兼容GB2312，浏览器都做了同样的兼容：把GB2312统一按GBK行为处理。