重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
我来解释吧。。
为水磨沟等地区用户提供了全套网页设计制作服务,及水磨沟网站建设行业解决方案。主营业务为网站制作、网站建设、水磨沟网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
除了urlencode($a[$0]) 中的$0是无效之外
【【【函数urlencode也用错了。
URL encode是编码,而URL decode是解码,】】】
所以这里要正确还原就必须用
urldecode($a[0]) 解码
^^ -------失之毫厘谬以千里
在发送payload时浏览器会自动对一些特殊字符进行url编码,服务器端会自动进行一次解码。具体情况如下:
注: 当我们想要发送的命令包含有特殊字符时可以考虑进行俩编码,如果是渗透linux系统还可以考虑使用base64编码。
bash -c '{echo,base64编码的命令}|{base64,-d}|{bash,-i}'
get传输的时候会出现中文乱码的问题,需要通过urlencode和urldecode来进行处理。
?php
//这句话是对中文url编码.
$str=urlencode("北京好");
echo "a href='a.php?city=".$str."name=xiaoming'传送数据/a";
?
所以说,urlencode是处理中文get传递时防止出现乱码用的。
URL中不能显示地包含空格这已经是一个共识,而空格以何种形式存在,在不同的标准中又不完全一致,以致于不同的语言也有了不同的实现。
rfc2396 中明确表示空格应该被编码为 %20 。
而W3C的标准中却又说空格可以被替换为 + 或者 %20 。
老许当场懵逼,空格被替换为 + ,那 + 本身只能被编码。既然如此,为什么不直接对空格进行编码呢。当然这只是老许心中的疑惑,以前的背景我们已经无法追溯,已成的事实我们也无法改变。但,空格到底是被替换为 + 还是 20% , + 是否需要被编码都是现在的我们需要直面的问题。
作为Gopher最先关注的自然是Go语言本身的实现,因此我们首先了解一下Go中常用的三种URL编码方式的异同。
使用 url.QueryEscape 编码时,空格被编码为 + ,而 + 本身被编码为 %2B 。
使用 url.PathEscape 编码时,空格被编码为 20% , 而 + 则未被编码。
使用 (Values).Encode 方法编码时,空格被编码为 + ,而 + 本身被编码为 %2B ,进一步查看 (Values).Encode 方法的源码知其内部仍旧调用 url.QueryEscape 函数。而 (Values).Encode 方法和 url.QueryEscape 的区别在于前者仅编码query中的key和value,后者会对 = 、 均进行编码。
对我们开发者而言,这三种编码方式到底应该使用哪一种,请继续阅读后文相信你可以在后面的文章中找到答案。
既然空格和 + 在Go中的URL编码方式有不同的实现,那在其他语言中是否也存在这样的情况呢,下面以PHP和JS为例。
urlencode
rawurlencode
PHP的 urlencode 和Go的 url.QueryEscape 函数效果一致,而 rawurlencode 则将空格和 + 均进行编码。
encodeURI
encodeURIComponent
JS的 encodeURI 和Go的 url.PathEscape 函数效果一致,而 encodeURIComponent 则将空格和 + 均进行编码。
在前文中已经总结了 Go 、 PHP 和 JS 对 +Gopher指北 的编码操作,下面总结一下其对应的解码操作是否可行的二维表。
上表中的 YY 和 Y 同含义,老许仅以 YY 表示在Go中推荐使用 url.PathEscape 进行编码,同时在PHP和JS中分别推荐使用 rawurldecode 和 decodeURIComponent 进行解码。
在实际的开发过程中,Gopher一定会存在需要解码的场景,此时就需要和URL编码方进行沟通以得到合适的方式解码。
那有没有通用的不需要URL编解码的方式呢?毫无疑问是有的!以 base32 编码为例,其编码字符集为 A-Z和数字2-7 ,此时对值进行base32编码后就无需url编码了。
最后,衷心希望本文能够对各位读者有一定的帮助。
参考