黑客攻防技术之编码

web前端武哥

之前的文章提到了，应用程序需要将用户的输入看作是不安全的输入，是安全正确的做法，其中一种方式就是将用户输入的内容进行转义或编码，接下来就介绍一下web应用程序对其数据采用的几种不同的编码方案。

（1）URL编码

URL编码只允许US-ASCII字符集中的可打印字符（就是ASCII代码在0x20-0x7e范围内的字符）。所有的URL编码的字符都以%为前缀，其后是这个字符的两位十六进制ASCII代码。以下是一些常见的URL编码字符：

%3d  代表  =

%25  代表  %

%20  代表空格

%0a  代表换行

%00  代表空字节

注：编码字符“+”代表的是URL编码的空格

（2）unicode编码

1.16位unicode编码的工作原理与URL编码类似，16位unicode编码字符以%u为前缀，其后为这个字符的十六进制unicode码点。

2.UTF-8是一种长度可变的编码标准。它使用一个或几个字节表示每个字符。UTF-8编码的多字节字符以%为前缀，其后用十六进制表示每个字节。

（3）HTML编码

HTML编码是一种用于表示问题字符已将安全并入HTML文档的方案。

（4）BASE64编码

base64编码仅用一个可打印的ASCII字符就可以转换为任何二进制数据。base64编码将输入数据转换为3个字节块，每个块被分为4段，每个段6个数据位。这6个数据位只有64种不同的排列，因此每个段可使用一组64个字符表示。如果最后的输入数据块不能构成3段输出数据，就会用一个或两个等号（=）补足输出。

（5）十六进制编码

许多应用程序在传输二进制数据时直接使用十六进制编码，使用ASCII字符表示十六进制数据块。

例如：daf进行十六进制编码结果为646166

首先将daf在ASCII表中找到对应的十进制数分别为100、97、102，在将他们的十进制换成十六进制得出daf的十六进制编码。

Dixon

看看，了解一下