html url 编码 Url Encode 和 Url Decode 防止sql注入URL
2014-09-12 14:21
429 查看
html编码:
保持储存在 HTML 文件内的内容的完整性,
让市面上大多数浏览器都能正确显示文本的内容。
html编码,就是类似于下面的编码:
<div id="sdf">这里是内容</div>
URL编码:
url编码是一种浏览器用来打包表单输入的格式,一般常见于浏览器地址栏目中。
URL编码,是为了网络请求地址的标准化传输而做的一层编码转换,上面的html编码如果采用URL编码的话,看到的就应该类似于下面:
%3Cdiv+id%3D%22sdf%22%3E%E8%BF%99%E9%87%8C%E6%98%AF%E5%86%85%E5%AE%B9%3C%2Fdiv%3E
url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。不管哪种情况,在服务器端的表单输入格式样子象这样:
theName=Ichabod+Crane&gender=male&status=missing& ;headless=yes
ascii码是92,92的十六进制是5c,所以“\”的url编码就是%5c。那么汉字的url编码呢?很简单,看例子:“胡”的ascii码是-17670,十六进制是BAFA,url编码是“%BA%FA”。
关于Url Encode 和 Url Decode
对于url中的中文字符,大多数网站都会做编码的处理,这里我们来探讨常用的2中编码和解码在perl中实现。
常用的编码方式有2种,GBK和UTF-8,因此URL编码也使用GBK的URL编码和UTF-8的URL编码。
1:GBK进行URL Encode。
1)先对字符串进行GBK编码。请注意,汉字本身采用的就是GBK编码,因此对于汉字,不应该再使用GBK编码。所以实际上如果是针对URL有汉字的URL进行URL编码,就直接使用URL编码函数即可。
2)然后进行URL编码
while(<>){
chomp;
my $gbkec = Encode::encode("gbk",$_); #对字符串进行GBK编码,如果是汉字要省略掉这一步,否则为重复编码。
my $gbkuec = URI::Escape::uri_escape($gbkec); #对已经进行GBK编码的字符串进行URL编码
my $encode = URI::Escape::uri_escape($_); #如果是汉字,可以直接进行URL编码
print "$_ ->[GBK]$gbkec ->[URLencode]$gbkuec\n";
print "$_ -> [URLencode]$encode\n";
}
测试输出:
@# ->[GBK]@# ->[URLencode]%40%23
@# -> [URLencode]%40%23
然后进行URL的GBK解码
解码的过程也要注意,汉字是不是重复使用了GBK解密,代码如下
while(<>){
chomp;
my $gbkec = URI::Escape::uri_unescape($_); #对URL进行解码
my $chstr = Encode::decode("gbk",$gbkec); #对已经解码的url进行GBK解码,汉字本身为GBK编码,不用在进行GBK解码。
my $decode = URI::Escape::uri_unescape($_); #汉字编码的url可直接进行这一步
print "$_ ->[URLdecode]$gbkec ->[GBKDecode]$chstr\n";
print "$_ -> [URLdecode]$decode\n";
}
测试输出:
%40%23
%40%23 ->[URLdecode]@# ->[GBKDecode]@#
%40%23 -> [URLdecode]@#
2:UTF-8进行URL编码。
因为汉字采用的是GBK编码,因此不论在URL编码前还是在URL解码后,都需要调用相应函数进行操作。
对于UTF-8的编码和解码,我们使用UTF-8模块中的函数。
如下是编码后又解码的过程:
while(<>){
chomp;
my $utf8str = $_;
utf8::encode($utf8str); #进行UTF-8编码,函数直接操作变量
my $encode = URI::Escape::uri_escape($utf8str); #对已经经过UTF-8编码的对象进行URL编码
print "UTF-8 Encode:[$_] -> [$utf8str] -> [$encode]\n";
my $urldecode = URI::Escape::uri_unescape($encode); #对经过UTF-8编码的URL进行URL解码
my $decode = $urldecode;
utf8::decode($decode); #对经过URL解码后的字符串进行UTF-8解码
print "UTF-8 Decode:[$encode] -> [$urldecode] -> [$decode]\n";
}
测试输出:
测试
UTF-8 Encode:[测试] -> [???????”] -> [%C2%B2%C3%A2%C3%8A%C3%94]
UTF-8 Decode:[%C2%B2%C3%A2%C3%8A%C3%94] -> [???????”] -> [测试]
URL中使用中文等非ASCII的字符造成服务器后台程序解析出现乱码的问题。
(1)Query String中的参数值
(2)servlet path
(2)Servlet服务器:Servlet服务器的没有正确配置。
(3)开发人员并不了解Servlet的规范和API的含义。
代码:
//过滤URL非法SQL字符
var sUrl=location.search.toLowerCase();
var sQuery=sUrl.substring(sUrl.indexOf("=")+1);
re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;
if(re.test(sQuery))
{
alert("请勿输入非法字符");
location.href=sUrl.replace(sQuery,"");
}
保持储存在 HTML 文件内的内容的完整性,
让市面上大多数浏览器都能正确显示文本的内容。
html编码,就是类似于下面的编码:
<div id="sdf">这里是内容</div>
URL编码:
url编码是一种浏览器用来打包表单输入的格式,一般常见于浏览器地址栏目中。
URL编码,是为了网络请求地址的标准化传输而做的一层编码转换,上面的html编码如果采用URL编码的话,看到的就应该类似于下面:
%3Cdiv+id%3D%22sdf%22%3E%E8%BF%99%E9%87%8C%E6%98%AF%E5%86%85%E5%AE%B9%3C%2Fdiv%3E
url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ,将它们以name/value参数编码(移去那些不能传送的字符,将数据排行等等)作为URL的一部分或者分离地发给服务器。不管哪种情况,在服务器端的表单输入格式样子象这样:
theName=Ichabod+Crane&gender=male&status=missing& ;headless=yes
ascii码是92,92的十六进制是5c,所以“\”的url编码就是%5c。那么汉字的url编码呢?很简单,看例子:“胡”的ascii码是-17670,十六进制是BAFA,url编码是“%BA%FA”。
关于Url Encode 和 Url Decode
对于url中的中文字符,大多数网站都会做编码的处理,这里我们来探讨常用的2中编码和解码在perl中实现。
常用的编码方式有2种,GBK和UTF-8,因此URL编码也使用GBK的URL编码和UTF-8的URL编码。
1:GBK进行URL Encode。
1)先对字符串进行GBK编码。请注意,汉字本身采用的就是GBK编码,因此对于汉字,不应该再使用GBK编码。所以实际上如果是针对URL有汉字的URL进行URL编码,就直接使用URL编码函数即可。
2)然后进行URL编码
while(<>){
chomp;
my $gbkec = Encode::encode("gbk",$_); #对字符串进行GBK编码,如果是汉字要省略掉这一步,否则为重复编码。
my $gbkuec = URI::Escape::uri_escape($gbkec); #对已经进行GBK编码的字符串进行URL编码
my $encode = URI::Escape::uri_escape($_); #如果是汉字,可以直接进行URL编码
print "$_ ->[GBK]$gbkec ->[URLencode]$gbkuec\n";
print "$_ -> [URLencode]$encode\n";
}
测试输出:
@# ->[GBK]@# ->[URLencode]%40%23
@# -> [URLencode]%40%23
然后进行URL的GBK解码
解码的过程也要注意,汉字是不是重复使用了GBK解密,代码如下
while(<>){
chomp;
my $gbkec = URI::Escape::uri_unescape($_); #对URL进行解码
my $chstr = Encode::decode("gbk",$gbkec); #对已经解码的url进行GBK解码,汉字本身为GBK编码,不用在进行GBK解码。
my $decode = URI::Escape::uri_unescape($_); #汉字编码的url可直接进行这一步
print "$_ ->[URLdecode]$gbkec ->[GBKDecode]$chstr\n";
print "$_ -> [URLdecode]$decode\n";
}
测试输出:
%40%23
%40%23 ->[URLdecode]@# ->[GBKDecode]@#
%40%23 -> [URLdecode]@#
2:UTF-8进行URL编码。
因为汉字采用的是GBK编码,因此不论在URL编码前还是在URL解码后,都需要调用相应函数进行操作。
对于UTF-8的编码和解码,我们使用UTF-8模块中的函数。
如下是编码后又解码的过程:
while(<>){
chomp;
my $utf8str = $_;
utf8::encode($utf8str); #进行UTF-8编码,函数直接操作变量
my $encode = URI::Escape::uri_escape($utf8str); #对已经经过UTF-8编码的对象进行URL编码
print "UTF-8 Encode:[$_] -> [$utf8str] -> [$encode]\n";
my $urldecode = URI::Escape::uri_unescape($encode); #对经过UTF-8编码的URL进行URL解码
my $decode = $urldecode;
utf8::decode($decode); #对经过URL解码后的字符串进行UTF-8解码
print "UTF-8 Decode:[$encode] -> [$urldecode] -> [$decode]\n";
}
测试输出:
测试
UTF-8 Encode:[测试] -> [???????”] -> [%C2%B2%C3%A2%C3%8A%C3%94]
UTF-8 Decode:[%C2%B2%C3%A2%C3%8A%C3%94] -> [???????”] -> [测试]
URL中使用中文等非ASCII的字符造成服务器后台程序解析出现乱码的问题。
常见出错部分
也就是容易出现中文字符的部分:(1)Query String中的参数值
(2)servlet path
常见出错原因
(1)浏览器:我们的客户端(浏览器)本身并没有遵循URI编码的规范。(2)Servlet服务器:Servlet服务器的没有正确配置。
(3)开发人员并不了解Servlet的规范和API的含义。
防止sql注入
URL编码平时是用不到的,因为IE会自动将输入到地址栏的非数字字母转换为url编码。曾有人提出数据库名字里带上“#”以防止被下载,因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。现在SQL注射非常流行,所以就有人写了一些防注射的脚本。代码:
//过滤URL非法SQL字符
var sUrl=location.search.toLowerCase();
var sQuery=sUrl.substring(sUrl.indexOf("=")+1);
re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;
if(re.test(sQuery))
{
alert("请勿输入非法字符");
location.href=sUrl.replace(sQuery,"");
}
相关文章推荐
- HTML Url 编码(Encode 和 Url Decode)
- HTML Url 编码(Encode 和 Url Decode)
- HTML URL 编码
- HTML URL 编码
- 浅析php过滤html字符串,防止SQL注入的方法
- html-----013----实体字符/HTML URL 编码
- python+处理日志+处理URL防止SQL注入
- java防SQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring) ---转载
- HTML URL 编码
- java 防SQL注入 html编码入侵 特殊字符转义 方法入参检测工具 (Spring)
- addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入
- java 防SQL注入 html编码入侵 特殊字符转义 方法入参检测工具 (Spring)
- HTML URL 编码
- java防SQL注入html编码入侵特殊字符转义和方法入参检测工具(Spring)
- HTML URL 编码
- HTML URL 编码:请参阅:http://www.w3school.com.cn/tags/html_ref_urlencode.html
- HTML URL 编码
- 浅析php过滤html字符串,防止SQL注入的方法
- mybatis防止sql注入 http://www.verydemo.com/demo_c89_i32778.html
- HTML URL 编码