html url 编码 Url Encode 和 Url Decode 防止sql注入URL

html编码：

• 保持储存在 HTML 文件内的内容的完整性，
• 让市面上大多数浏览器都能正确显示文本的内容。

html编码，就是类似于下面的编码：

<div id="sdf">这里是内容</div>

URL编码：

url编码是一种浏览器用来打包表单输入的格式，一般常见于浏览器地址栏目中。

URL编码，是为了网络请求地址的标准化传输而做的一层编码转换，上面的html编码如果采用URL编码的话，看到的就应该类似于下面：

%3Cdiv+id%3D%22sdf%22%3E%E8%BF%99%E9%87%8C%E6%98%AF%E5%86%85%E5%AE%B9%3C%2Fdiv%3E

url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ，将它们以name/value参数编码（移去那些不能传送的字符，将数据排行等等）作为URL的一部分或者分离地发给服务器。不管哪种情况，在服务器端的表单输入格式样子象这样：
theName=Ichabod+Crane&gender=male&status=missing& ;headless=yes

ascii码是92，92的十六进制是5c，所以“\”的url编码就是%5c。那么汉字的url编码呢？很简单，看例子：“胡”的ascii码是-17670，十六进制是BAFA，url编码是“%BA%FA”。

关于Url Encode 和 Url Decode

对于url中的中文字符，大多数网站都会做编码的处理，这里我们来探讨常用的2中编码和解码在perl中实现。

常用的编码方式有2种，GBK和UTF-8，因此URL编码也使用GBK的URL编码和UTF-8的URL编码。

1：GBK进行URL Encode。

 1）先对字符串进行GBK编码。请注意，汉字本身采用的就是GBK编码，因此对于汉字，不应该再使用GBK编码。所以实际上如果是针对URL有汉字的URL进行URL编码，就直接使用URL编码函数即可。

 2）然后进行URL编码

while(<>){
        chomp;
        my $gbkec = Encode::encode("gbk",$_); #对字符串进行GBK编码，如果是汉字要省略掉这一步，否则为重复编码。
        my $gbkuec = URI::Escape::uri_escape($gbkec); #对已经进行GBK编码的字符串进行URL编码
        my $encode = URI::Escape::uri_escape($_); #如果是汉字，可以直接进行URL编码
        print "$_ ->[GBK]$gbkec ->[URLencode]$gbkuec\n";
        print "$_ -> [URLencode]$encode\n";
}
测试输出：
@# ->[GBK]@# ->[URLencode]%40%23
@# -> [URLencode]%40%23

然后进行URL的GBK解码
解码的过程也要注意，汉字是不是重复使用了GBK解密，代码如下

while(<>){
        chomp;
        my $gbkec = URI::Escape::uri_unescape($_); #对URL进行解码
        my $chstr = Encode::decode("gbk",$gbkec); #对已经解码的url进行GBK解码，汉字本身为GBK编码，不用在进行GBK解码。

        my $decode = URI::Escape::uri_unescape($_); #汉字编码的url可直接进行这一步
        print "$_ ->[URLdecode]$gbkec ->[GBKDecode]$chstr\n";
        print "$_ -> [URLdecode]$decode\n";
}

测试输出：
%40%23
%40%23 ->[URLdecode]@# ->[GBKDecode]@#
%40%23 -> [URLdecode]@#

2：UTF-8进行URL编码。

因为汉字采用的是GBK编码，因此不论在URL编码前还是在URL解码后，都需要调用相应函数进行操作。
对于UTF-8的编码和解码，我们使用UTF-8模块中的函数。
如下是编码后又解码的过程：

while(<>){
        chomp;

        my $utf8str = $_;
        utf8::encode($utf8str); #进行UTF-8编码，函数直接操作变量
        my $encode = URI::Escape::uri_escape($utf8str); #对已经经过UTF-8编码的对象进行URL编码
        print "UTF-8 Encode:[$_] -> [$utf8str] -> [$encode]\n";

        my $urldecode = URI::Escape::uri_unescape($encode); #对经过UTF-8编码的URL进行URL解码
        my $decode = $urldecode;
        utf8::decode($decode); #对经过URL解码后的字符串进行UTF-8解码
        print "UTF-8 Decode:[$encode] -> [$urldecode] -> [$decode]\n";
}

测试输出：
测试
UTF-8 Encode:[测试] -> [???????”] -> [%C2%B2%C3%A2%C3%8A%C3%94]
UTF-8 Decode:[%C2%B2%C3%A2%C3%8A%C3%94] -> [???????”] -> [测试]
 

URL中使用中文等非ASCII的字符造成服务器后台程序解析出现乱码的问题。

常见出错部分

也就是容易出现中文字符的部分：

（1）Query String中的参数值

（2）servlet path

常见出错原因

（1）浏览器：我们的客户端（浏览器）本身并没有遵循URI编码的规范。

（2）Servlet服务器：Servlet服务器的没有正确配置。

（3）开发人员并不了解Servlet的规范和API的含义。

防止sql注入

URL编码平时是用不到的，因为IE会自动将输入到地址栏的非数字字母转换为url编码。曾有人提出数据库名字里带上“#”以防止被下载，因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。现在SQL注射非常流行，所以就有人写了一些防注射的脚本。

代码：
//过滤URL非法SQL字符
var sUrl=location.search.toLowerCase();
var sQuery=sUrl.substring(sUrl.indexOf("=")+1);
re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;
if(re.test(sQuery))
{
    alert("请勿输入非法字符");
    location.href=sUrl.replace(sQuery,"");
}