今天发现详细信息的页面有字段显示异常,地址信息全部丢失,last name则是丢失一半
经分析是url传值时l遇到&导致信息错误,并连累了addr
于是查了一下特殊字符的处理方式
基本上是HTMLENCODE,URLEncode, escape...几种
其实也顺便查了一下解码方式,结果发现asp没有自带的解码函数 - =
问题是我去Request.QueryString的时候居然也不需要解码就可以得到正确的值。。。。囧
那个。。。为啥米捏~。。。。。 = =
具体细节摘录于下
-------------------------------------------------------------------------------------------------
特殊特殊字符的含义
字符 特殊字符的含义 URL编码
# 用来标志特定的文档位置 %23
% 对特殊字符进行编码 %25
& 分隔不同的变量值对 %26
+ 在变量值中表示空格 %2B
\ 表示目录路径 %2F
= 用来连接键和值 %3D
? 表示查询字符串的开始 %3F
当键值中含有以上列表中的一些字符时就无法准确的接收其中的值。
<!--文件名为01.asp-->
<%
'定义含有特殊字符的字符串
str="parameter=#%&+\=?value</html>"
'用URLEncode方法进行编码
strurlencode=server.URLEncode(str)
'用HTMLEncode方法进行编码
strhtmlencode=server.HTMLEncode (str)
'显示所有的querysting字符
Response.Write "<b>QueryString:<b>"
Response.Write Request.QueryString
'显示传递的参数
Response.Write "<br><b>Parameter is:</b>" & str &"<br>"
Response.Write "<b>QueryParameter=</b>"
Response.Write Request.QueryString ("str")
%>
<HTML>
<HEAD>
<META NAME="GENERATOR" Content="Microsoft Visual Studio 6.0">
<TITLE></TITLE>
</HEAD>
<BODY>
<P><a href="01.asp?str=<%=strurlencode%>">Str UrlEncode Method</a></P>
<P> </P>
<P><a href="01.asp?str=<%=strhtmlencode%>">Str HtmlEncode Method</a></P>
</BODY>
</HTML>
显示结果
QueryString:
Parameter is:parameter=#%&+\=?value
QueryParameter=
Str UrlEncode Method
Str HtmlEncode Method
点击连接1,结果
QueryString:str=parameter%3D%23%25%26%2B%5C%3D%3Fvalue%3C%2Fhtml%3E
Parameter is:parameter=#%&+\=?value
QueryParameter=parameter=#%&+\=?value
Str UrlEncode Method
Str HtmlEncode Method
此时我们发现好象参数值中的</html>没有能正确接收到,当我们查看原代码的时候就会发现其实已经准确的接收到了,原因是?/html>?#26159;标准html tag ,经过浏览器解释后就不会显示出来了。
点击连接2,结果
QueryString:str=parameter=
Parameter is:parameter=#%&+\=?value
QueryParameter=parameter=
Str UrlEncode Method
Str HtmlEncode Method
此时就会发现在#后面没有能正确接收到,而是被解释为锚点的开始,在"#"后面的为锚的名称。
结论:在含有以上列表中具有特殊功能的特殊字符的字符串,作为参数用GET方式传递时,只需要用URLENCODE方法处理一下就可以拉。如果不想让浏览者看到含后HTML TAG的字符串的具体值值是,我们可以用HTMLENCODE处理一下。
PHP中用函数urlencode()就可以拉,这里就不在举例了
----------------------------------------------------------------------------------------------------
HTTP标准的两种请求方式:Post和Get,关于这两种请求方式的区别相关资料云集,这里不做阐述。然而,你是否注意到:
我们通过get方式从浏览器的地址栏传递数据给服务器,当参数的值中含有某些特殊转义字符的时候,没经过些许处理将得不到预期的结果。
第一种解决方案不解释也能明白,现在解释下第二种方法的处理:
JavaScript escape() 函数的功能是把其中某些字符替换成了十六进制的转义序列。该方法不会对ASCII字母和数字进行编码,也不会对下面这些 ASCII 标点符号进行编码: - _ . ! ~ * ' ( )。其他所有的字符都会被转义序列替换。具体参考:http://www.w3school.com.cn/js/jsref_escape.asp.
这样来就不会出现自动截断或者其他意想不到的效果。
-------------------------------------------------------------------------------------------------
asp URLEncode
http://hi.baidu.com/xianshao129193/blog/item/fea9b101518828047aec2c67.html
URLEncode
URLEncode 方法将 URL 编码规则,包括转义字符,应用到指定的字符串。
语法
Server.URLEncode( string )
参数
String
指定要编码的字符串。
示例
脚本
<%Response.Write(Server.URLEncode("http://www.microsoft.com")) %>
输出
http%3A%2F%2Fwww%2Emicrosoft%2Ecom
应用于
Server 对象
我们这里试输出一段字符:<%response.write Server.UrlEncode("中国贵阳")%>,页面显示结果为:%D6%D0%B9%FA%B9%F3%D1%F4,已成功编译。
如果再对其进行反编译处理呢?
'该函数转自互联网
function urldecode(encodestr)
newstr=""
havechar=false
lastchar=""
for i=1 to len(encodestr)
char_c=mid(encodestr,i,1)
if char_c="+" then
newstr=newstr & " "
elseif char_c="%" then
next_1_c=mid(encodestr,i+1,2)
next_1_num=cint("&H" & next_1_c)
if havechar then
havechar=false
newstr=newstr & chr(cint("&H" & lastchar & next_1_c))
else
if abs(next_1_num)<=127 then
newstr=newstr & chr(next_1_num)
else
havechar=true
lastchar=next_1_c
end if
end if
i=i+2
else
newstr=newstr & char_c
end if
next
urldecode=newstr
end function
最后输出反编译为:<%response.write UrlDecode("%D6%D0%B9%FA%B9%F3%D1%F4")%>
或者:<%response.write UrlDecode(Server.UrlEncode("中国贵阳"))%>