js\php字元及url的處理

一、JS字元轉義

js對文字進行編碼涉及3個函數：escape, encodeURI, encodeURIComponent，相應3個解碼函數：unescape,decodeURI,decodeURIComponent

1、傳遞參數時需要使用encodeURIComponent，這樣組合的url才不會被#等特殊字元截斷。                           

例如：

<script language="javascript">document.write('<a href="http://passport.baidu.com/?logout&aid=7& u='+encodeURIComponent("http://cang.baidu.com/bruce42")+'">退出</a&amp; gt;');</script>

2、進行url跳轉時可以整體使用encodeURI

例如： Location.href=encodeURI(http://cang.baidu.com/do/s?word=中國&ct=21);

使用這個方法編碼的字元在PHP中可以使用urldecode()函數反編碼

3、js使用資料時可以使用escape

escape對0-255以外的unicode值進行編碼時輸出%u****格式，其它情況下escape，encodeURI，encodeURIComponent編碼結果相同。

escape不編碼字元有69個：*，+，-，.，/，@，_，0-9，a-z，A-Z

encodeURI不編碼字元有82個：!，#，$，&，'，(，)，*，+，,，-，.，/，:，;，=，?，@，_，~，0-9，a-z，A-Z

encodeURIComponent不編碼字元有71個：!， '，(，)，*，-，.，_，~，0-9，a-z，A-Z

二、php中字元轉義 htmlspecialchars(),htmlspecialchars_decode()
htmlentities(),html_entity_decode()
urlencode();urldecode()
rawurlencode();rawurldecode()

三、注意1.資料存入DB時存入未經處理資料；2.接入層得到DB資料時，需要對需要在頁面展示字串資料及url進行安全轉義（htmlspecialchars），以便於正常顯示而不是去執行指令碼；3.如果接入層（如php測）沒有對輸出資料做轉義，則需要頁面測在顯示之前做轉義，只使用於js填充頁面，填充前指定頂字元做轉義替換。