UrlEncoding 安全分隔符

Question

因此，我正在开发的网站有一个过滤系统，该系统通过查询字符串传递键和值系统来进行操作。

整个网站即将进行重构，我正在维护现有网站，因此在我们讨论实现此目的的正确方法之前，我只需要更改分隔符的想法。

当前格式如下：

cf=:

问题是，我最近遇到了一个问题，因为此过滤器的一些新值包含 ：在其中。即：cf=MO_AspectRatio:16:10

值正在进行 UrlEncoded，但浏览器正在将 %3a 解码为：动态因为 : 本质上不会破坏网址。

我需要一些关于 :、-、_、& 以外的网址安全分隔符的建议? 这是有道理的。我不是在寻找像 () 这样的解决方案或一些疯狂的东西。

Answer 1

管子呢？

cf=MO_AspectRatio|16:10

Answer 2

这篇维基百科文章对于了解有关非保留字符和保留字符的更多信息非常有用。

到目前为止 波浪号 ~ 可能是最好的选择。但它迟早会破裂的可能性仍然存在。或者您应该根据用户输入正确记录并验证这一点。

Answer 3

URI 方案通用语法 允许两个有效的参数分隔符：&和<代码>;。我总是见过前者，却从未见过后者。需要 ? 符号来正确识别查询字符串的开头，因此我不建议使用它。用于 url 的 / 也是如此。

任何不属于其中之一且不属于您的价值观的角色都是可以接受的。以下是可能的列表，按我自己的喜好排序，不包括您明确拒绝的列表：

, + | #< /code> $ !

其中任何一个都可以。

另外，即使您明确要求不要：在将来的重构中，请尝试使用真实的 URI 参数（使用 &）。会给你省去很多头痛的事情。

Answer 4

最直接的解决方案是对整个字符串进行 Base64 编码，然后在输入时对其进行 Base64 解码。

另一种选择是在输出之前对其进行 urlencode 两次，然后在输入时对其进行 urldecode 一次（php 或 apache 可能不确定谁执行此操作，将对所有输入进行自动 urldecode）。