Question

本章主要讲述了字符编码的处理对安全性的一些影响。

在 Web 应用程序开发时经常会出现汉字乱码问题，几乎每个人都曾经遇到过。发生乱码的原因都是因为字符编码的处理或者设置不正确导致的。字符编码除了会导致乱码问题外，还可能会引发安全漏洞的出现。

像这样由于字符编码处理不当导致的漏洞绝对不是什么小概率事件。具体到如何去做，我们可以从最常见的乱码问题开始着手。比如可以先按照下面的步骤进行处理。

• 发现非法的编码数据终止处理，或者用 U+FFFD 替换
• 确认“表”或者“ソ”、“能￥”等是否能正确保存和显示
• 是否能通过尾骶骨测试

由字符编码引起的漏洞经常被用在网络攻击中，比如蠕虫病毒 Nimda 就是利用了漏洞 MS00-057 的一个例子。

对策汇总

• 应用全体统一使用 Unicode
• 输入数据非法时报错并终止处理
• 处理数据时使用正确的编码方式
• 输出时设置正确的字符编码方式