html url 编码 Url Encode 和 Url Decode 防止sql注入URL

html编码：

保持储存在 HTML 文件内的内容的完整性，
让市面上大多数浏览器都能正确显示文本的内容。

html编码，就是类似于下面的编码：

<div id="sdf">这里是内容</div>

URL编码：

url编码是一种浏览器用来打包表单输入的格式，一般常见于浏览器地址栏目中。

URL编码，是为了网络请求地址的标准化传输而做的一层编码转换，上面的html编码如果采用URL编码的话，看到的就应该类似于下面：

%3Cdiv+id%3D%22sdf%22%3E%E8%BF%99%E9%87%8C%E6%98%AF%E5%86%85%E5%AE%B9%3C%2Fdiv%3E

url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ，将它们以name/value参数编码（移去那些不能传送的字符，将数据排行等等）作为URL的一部分或者分离地发给服务器。不管哪种情况，在服务器端的表单输入格式样子象这样：

theName=Ichabod+Crane&gender=male&status=missing& ;headless=yes

ascii码是92，92的十六进制是5c，所以“\”的url编码就是%5c。那么汉字的url编码呢？很简单，看例子：“胡”的ascii码是-17670，十六进制是BAFA，url编码是“%BA%FA”。

关于Url Encode 和 Url Decode

对于url中的中文字符，大多数网站都会做编码的处理，这里我们来探讨常用的2中编码和解码在perl中实现。

常用的编码方式有2种，GBK和UTF-8，因此URL编码也使用GBK的URL编码和UTF-8的URL编码。

1：GBK进行URL Encode。

1）先对字符串进行GBK编码。请注意，汉字本身采用的就是GBK编码，因此对于汉字，不应该再使用GBK编码。所以实际上如果是针对URL有汉字的URL进行URL编码，就直接使用URL编码函数即可。

2）然后进行URL编码

while(<>){

chomp;

my $gbkec = Encode::encode("gbk",$_); #对字符串进行GBK编码，如果是汉字要省略掉这一步，否则为重复编码。

my $gbkuec = URI::Escape::uri_escape($gbkec); #对已经进行GBK编码的字符串进行URL编码

my $encode = URI::Escape::uri_escape($_); #如果是汉字，可以直接进行URL编码

print "$_ ->[GBK]$gbkec ->[URLencode]$gbkuec\n";

print "$_ -> [URLencode]$encode\n";

}

测试输出：

@# ->[GBK]@# ->[URLencode]%40%23

@# -> [URLencode]%40%23

然后进行URL的GBK解码

解码的过程也要注意，汉字是不是重复使用了GBK解密，代码如下

while(<>){

chomp;

my $gbkec = URI::Escape::uri_unescape($_); #对URL进行解码

my $chstr = Encode::decode("gbk",$gbkec); #对已经解码的url进行GBK解码，汉字本身为GBK编码，不用在进行GBK解码。

my $decode = URI::Escape::uri_unescape($_); #汉字编码的url可直接进行这一步

print "$_ ->[URLdecode]$gbkec ->[GBKDecode]$chstr\n";

print "$_ -> [URLdecode]$decode\n";

}

测试输出：

%40%23

%40%23 ->[URLdecode]@# ->[GBKDecode]@#

%40%23 -> [URLdecode]@#

2：UTF-8进行URL编码。

因为汉字采用的是GBK编码，因此不论在URL编码前还是在URL解码后，都需要调用相应函数进行操作。

对于UTF-8的编码和解码，我们使用UTF-8模块中的函数。

如下是编码后又解码的过程：

while(<>){

chomp;

my $utf8str = $_;

utf8::encode($utf8str); #进行UTF-8编码，函数直接操作变量

my $encode = URI::Escape::uri_escape($utf8str); #对已经经过UTF-8编码的对象进行URL编码

print "UTF-8 Encode:[$_] -> [$utf8str] -> [$encode]\n";

my $urldecode = URI::Escape::uri_unescape($encode); #对经过UTF-8编码的URL进行URL解码

my $decode = $urldecode;

utf8::decode($decode); #对经过URL解码后的字符串进行UTF-8解码

print "UTF-8 Decode:[$encode] -> [$urldecode] -> [$decode]\n";

}

测试输出：

测试

UTF-8 Encode:[测试] -> [???????”] -> [%C2%B2%C3%A2%C3%8A%C3%94]

UTF-8 Decode:[%C2%B2%C3%A2%C3%8A%C3%94] -> [???????”] -> [测试]

URL中使用中文等非ASCII的字符造成服务器后台程序解析出现乱码的问题。

常见出错部分

也就是容易出现中文字符的部分：
（1）Query String中的参数值
（2）servlet path

常见出错原因

（1）浏览器：我们的客户端（浏览器）本身并没有遵循URI编码的规范。
（2）Servlet服务器：Servlet服务器的没有正确配置。
（3）开发人员并不了解Servlet的规范和API的含义。

防止sql注入

URL编码平时是用不到的，因为IE会自动将输入到地址栏的非数字字母转换为url编码。曾有人提出数据库名字里带上“#”以防止被下载，因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。现在SQL注射非常流行，所以就有人写了一些防注射的脚本。

代码：

//过滤URL非法SQL字符

var sUrl=location.search.toLowerCase();

var sQuery=sUrl.substring(sUrl.indexOf("=")+1);

re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;

if(re.test(sQuery))

{

alert("请勿输入非法字符");

location.href=sUrl.replace(sQuery,"");

}