url编码是一种浏览器用来打包表单输入的格式。浏览器从表单中获取所有的name和其中的值 ，将它们以name/value参数编码（移去那些不能传送的字符，将数据排行等等）作为URL的一部分或者分离地发给服务器。不管哪种情况，在服务器端的表单输入格式样子像这样：

URL编码遵循下列规则： 每对name/value由&；符分开；每对来自表单的name/value由=符分开。如果用户没有输入值给这个name，那么这个name还是出现，只是无值。任何特殊的字符（就是那些不是简单的七位ASCII，如汉字）将以百分符%用十六进制编码，当然也包括像 =,&；，和 % 这些特殊的字符。其实url编码就是一个字符ascii码的十六进制。不过稍微有些变动，需要在前面加上“%”。比如“\u201d，它的ascii码是92，92的十六进制是5c，所以“\u201d的url编码就是%5c。

URL编码平时是用不到的，因为IE会自动将输入到地址栏的非数字字母转换为url编码。曾有人提出数据库名字里带上“#”以防止被下载，因为IE遇到#就会忽略后面的字母。破解方法很简单——用url编码%23替换掉#。SQL注射非常流行，所以就有人写了一些防注射的脚本。下面××SQL通用防注入asp版部分代码。

redim Fy_Cs(ubound(Fy_a))

On Error Resume Next

for Fy_x=0 to ubound(Fy_a)

Next

For Fy_x=0 to ubound(Fy_Cs)

Response.End

End If

End If

Next

它的思路就是先获得提交的数据，以“&；”为分界获得并处理name/value组，然后判断value里是否含有定义的关键字，有之，则为注射。

前言

编码问题是JAVA初学者在web开发过程中经常会遇到问题，其中之一是URL中使用中文等非ASCII的字符造成服务器后台程序解析出现乱码的问题。

常见出错部分

也就是容易出现中文字符的部分：

（1）Query String中的参数值

（2）servlet path

常见出错原因

（1）浏览器：我们的客户端（浏览器）本身并没有遵循URI编码的规范。

（2）Servlet服务器：Servlet服务器的没有正确配置。

（3）开发人员并不了解Servlet的规范和API的含义。

servlet规范

（1）HttpServletRequest.setCharacterEncoding（）方法 仅仅只适用于设置post提交的requestboda的编码而不是设置get方法提交的queryString的编码。该方法告诉应用服务器应该采用什么编码解析post传过来的内容。

（2） HttpServletRequest.getPathInfo（）返回的结果是由Servlet服务器解码（decode）过的。

（3） HttpServletRequest.getRequestURI（）返回的字符串没有被Servlet服务器decoded过。

（4） POST提交的数据是作为request body的一部分。

(a) 告诉浏览器网页中数据是什么编码；

(b) 表单提交时，通常浏览器会根据ContentType指定的charset对表单中的数据编码，然后发送给服务器的。

注意：这里所说的ContentType是指http头的ContentType，而不是在网页中mete中的ContentType。