本文对encode、decode、urlencode和urldecode几个概念的含义进行对比分析。

encoding和decoding

在计算机科学中，encoding指把一个字符序列，按照某种特定的规则，转换为一种特定的格式。decoding的含义反之。

在文本处理的编码转换中，encoding指把字符流按照某种编码转换为字节流，decoding指把字节流根据其编码还原为字符流。

一些编程语言中，内置了相应的函数调用。

如在python中，内部的字符串编码是unicode。当读取一个UTF-8编码的文件内容后，实际保存的是字节流。如果要转换为字符流，需要调用decoding函数进行解码。如下例子所示：

这段代码执行后，line的内容是 以unicode格式保存的字符串。

再看一下Perl。Perl 5.6之后内部字符串以UTF-8方式存在。上述的逻辑，用Perl实现是这样的：

这里需要使用use Encode引入Encode包。如果在读取文件时已经指定了编码，那么就不需要再单独做decode解码了。如下所示，

 open INPUT ”<:utf8" $file_path

 my $line = <INPUT>

对于非IO读入，而在代码中硬编码的字符串，可以理解为字节流，其编码与文件编码一致。

在进行字符串操作前，建议统一采用decode解码，这样可以保证内部处理的一致性和正确性。

在python或者Perl中，如果要把字符串输出，最好不要直接输出，而是先编码为字节流再输出。否则，有可能报错。

如在python中输出某一行到屏幕，

 line = line.encode("UTF8")
 print line

urlencode和urldecode

urlencode对URL进行编码。URL是一个字符串，urlencode把它理解为一个字节流，直接对每个字节进行转换，转换规则是把每个字节转换 为%HH的形式，HH等于字节的ASCII码值。如果URL中包含了中文参数，根据中文参数编码的区别，会决定urlecode的结果有所不同。

urldecode是把经过urlencode编码后得到的字符串还原为原始状态，根据urlencode的规则可知，urldecode的输入字符都在ASCII编码的范围内。

在python中，提供了urlencode包。

下面是一段实际的代码：

  from urllib import urlencode
  url = "http://www.google.com/search?" + "%s"
  key = "字符串";
  mass = {}
  mass["key"] = key
  params = urlencode(mass)
  encode_url = url % params

这一段程序源码的编码是UTF-8，encode_url即为encode之后的url：

http://www.google.com/search?key=%E5%AD%97%E7%AC%A6%E4%B8%B2

用Perl语言的话，通过调用unpack函数实现。

 my $url = "http://www.google.com/search?key=";
 my $query = "字符串";
 $query =~ s/(\W)/sprintf("%%%02x", unpack("C", $1))/eg;
 my $encode_url = $url . $query;

Author: shiqi.cui <cuberub@gmail.com>

Date: 2009-05-17

简介

加密是指通过使用密钥或密码对数据进行模糊处理的过程。在SQL Server中，加密并不能替代其他的安全设置，比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统，甚至是数据库所在的机房，而是 作为当数据库被破解或是备份被窃取后的最后一道防线。通过加密，使得未被授权的人在没有密钥或密码的情况下所窃取的数据变得毫无意义。这种做法不仅仅是为 了你的数据安全，有时甚至是法律所要求的（像国内某知名IT网站泄漏密码这种事在中国可以道歉后不负任何责任了事，在米国妥妥的要破产清算）。

SQL Server中的加密简介

在SQL Server2000和以前的版本，是不支持加密的。所有的加密操作都需要在程序中完成。这导致一个问题，数据库中加密的数据仅仅是对某一特定程序有意义，而另外的程序如果没有对应的解密算法，则数据变得毫无意义。

到了SQL Server2005，引入了列级加密。使得加密可以对特定列执行，这个过程涉及4对加密和解密的内置函数

SQL Server 2008时代，则引入的了透明数据加密（TDE），所谓的透明数据加密，就是加密在数据库中进行，但从程序的角度来看就好像没有加密一样，和列级加密不同 的是，TDE加密的级别是整个数据库。使用TDE加密的数据库文件或备份在另一个没有证书的实例上是不能附加或恢复的。

加密的一些基础知识

加密是指通过使用密钥或密码对数据进行模糊处理的过程。加密解密最简单的过程如图1所示。

图1.一个简单的加密解密过程

通常来说，加密可以分为两大类，对称(Symmetric)加密和非对称(Asymmetric)加密。

对称加密是那些加密和解密使用同一个密钥的加密算法，在图1中就是加密密钥=解密密钥。对称加密通常来说会比较羸弱，因为使用数据时不仅仅需要传输数据本身，还是要通过某种方式传输密钥，这很有可能使得密钥在传输的过程中被窃取。

非对称加密是那些加密和解密使用不同密钥的加密算法，在图1中就是加密密钥！=解密密钥。用于加密的密钥称之为公钥，用于解密的密钥称之为私钥。因此安全性相比对称加密来说会大大提高。当然有一长必有一短，非对称加密的方式通常算法会相比对称密钥来说复杂许多，因此会带来性能上的损失。

因此，一种折中的办法是使用对称密钥来加密数据，而使用非对称密钥来加密对称密钥。这样既可以利用对称密钥的高性能，还可以利用非对称密钥的可靠性。

加密算法的选择

现在流行的很多加密算法都是工业级的，比如对称加密的算法有:DES、3DES、IDEA、FEAL、BLOWFISH.而非对称加密的算法比如经典的RSA。因为这些算法已经公布了比较长的时间，并且经受了很多人的考验，所以通常来说都是比较安全的。

SQL Server提供了比如:DES、Triple DES、TRIPLE_DES_3KEY、RC2、RC4、128 位 RC4、DESX、128 位 AES、192 位 AES 和 256 位 AES这些加密算法，没有某种算法能适应所有要求，每种算法都有长处和短处，关于每种加密算法的细节，请Bing…

但选择算法有一些共通之处:

• 强加密通常会比较弱的加密占用更多的 CPU 资源。
• 长密钥通常会比短密钥生成更强的加密。
• 非对称加密比使用相同密钥长度的对称加密更强，但速度相对较慢。
• 使用长密钥的块密码比流密码更强。
• 复杂的长密码比短密码更强。
• 如果您正在加密大量数据，应使用对称密钥来加密数据，并使用非对称密钥来加密该对称密钥。
• 不能压缩已加密的数据，但可以加密已压缩的数据。如果使用压缩，应在加密前压缩数据。

SQL Server中的加密层次结构

在SQL Server中，加密是分层级的.根层级的加密保护其子层级的加密。概念如图2所示。

图2.SQL Server加密的层级

由图2可以看出，加密是分层级的。每一个数据库实例都拥有一个服务主密钥(Service Master Key),对应图2中的橙色部分。这个密钥是整个实例的根密钥，在实例安装的时候自动生成,其本身由Windows提供的数据保护API进行保护 (Data Pertection API)，服务主密钥除了为其子节点提供加密服务之外，还用于加密一些实例级别的信息，比如实例的登录名密码或者链接服务器的信息。

在服务主密钥之下的是数据库主密钥（Database Master Key），也就是图2中土黄色的部分，这个密钥由服务主密钥进行加密。这是一个数据库级别的密钥。可以用于为创建数据库级别的证书或非对称密钥提供加密。 每一个数据库只能有一个数据库主密钥，通过T-SQL语句创建，如代码1所示。

CREATE MASTER KEY ENCRYPTION BY PASSWORD ='Pa$$word'

代码1.创建数据库主密钥

数据库主密钥由代码1所示的密码和服务主密钥共同保护。当数据库主密钥创建成功后，我们就可以使用这个密钥创建对称密钥，非对称密钥和证书了。如代码2所示。

--创建证书
CREATE CERTIFICATE CertTest 
with SUBJECT = 'Test Certificate'
GO
--创建非对称密钥
CREATE ASYMMETRIC KEY TestAsymmetric
    WITH ALGORITHM = RSA_2048 
    ENCRYPTION BY PASSWORD = 'pa$$word'; 
GO
--创建对称密钥
CREATE SYMMETRIC KEY TestSymmetric
    WITH ALGORITHM = AES_256
    ENCRYPTION BY PASSWORD = 'pa$$word';
GO

代码2.创建证书，非对称密钥和对称密钥

在代码2中我们看出，并没有显式指定使用数据库主密钥加密证书，对称密钥和非对称密钥。这是因为每个数据库只能有一个数据库主密钥，所以无需指定。创建成功后我们可以在SSMS中查看到刚刚创建的证书，非对称密钥和对称密钥,如图3所示。

图3.查看刚刚创建成功的证书，非对称密钥和对称密钥

由这个加密层级不难推断，如果数据库主密钥被破解，则由其所创建的证书，对称密钥，非对称密钥都有可能被破解。

由图2的层级我们还可以看出，对称密钥不仅仅可以通过密码创建，还可以通过其它对称密钥，非对称密钥和证书创建。如代码3所示。

--由证书加密对称密钥
CREATE SYMMETRIC KEY SymmetricByCert
    WITH ALGORITHM = AES_256
    ENCRYPTION BY CERTIFICATE CertTest;
GO
--由对称密钥加密对称密钥
OPEN SYMMETRIC KEY TestSymmetric
    DECRYPTION BY PASSWORD='pa$$word'

CREATE SYMMETRIC KEY SymmetricBySy
    WITH ALGORITHM = AES_256
    ENCRYPTION BY SYMMETRIC KEY TestSymmetric;
GO
--由非对称密钥加密对称密钥

CREATE SYMMETRIC KEY SymmetricByAsy
    WITH ALGORITHM = AES_256
    ENCRYPTION BY ASYMMETRIC KEY TestASymmetric;
GO

代码3.由几种不同的加密方式创建对称密钥

SQL Server中的数据列加密(Column-level Encryption)

SQL Server在2005引入了列加密的功能。使得可以利用证书，对称密钥和非对称密钥对特定的列进行加密。在具体的实现上，根据加密解密的方式不同，内置了4对函数用于加密解密:

• EncryptByCert()  和DecryptByCert()—利用证书对数据进行加密和解密
• EncryptByAsymKey()  and DecryptByAsymKey()—利用非对称密钥对数据进行加密和解密
  EncryptByKey()  and DecryptByKey()—利用对称密钥对数据进行加密和解密
• EncryptByPassphrase()  and DecryptByPassphrase()—利用密码字段产生对称密钥对数据进行加密和解密

因此，加密数据列使用起来相对比较繁琐，需要程序在代码中显式的调用SQL Server内置的加密和解密函数，这需要额外的工作量，并且，加密或解密的列首先需要转换成Varbinary类型。

下面我们来看一个例子:

在AdventureWorks示例数据库中，我们找到Sales.CreditCard表，发现信用卡号是明文显示的（怎么AdventureWorks也像泄漏密码的某IT网站这么没节操）。因此希望对这一列进行加密。

图5.和国内某知名IT网站一样没节操的明文保存重要信息

首先我们需要将CardNumber列转为Varbinary类型。这里通过Select Into新建个表，如代码4所示。

SELECT CreditCardID, 
CardType,
CardNumber_encrypt = CONVERT(varbinary(500), CardNumber), 
ExpMonth, 
ExpYear, 
ModifiedDate
INTO Sales.CreditCard_Encrypt 
FROM Sales.CreditCard 
WHERE 1<>1

代码4.通过Select Into创建新表

此时我们利用之前创建的由证书加密的对称密钥来进行列加密，如代码5所示。

--打开之前创建的由证书加密的对称密钥
OPEN SYMMETRIC KEY SymmetricByCert
DECRYPTION BY CERTIFICATE CertTest
--利用这个密钥加密数据并插入新建的表
insert Sales.CreditCard_encrypt (
CardType,
CardNumber_encrypt, 
ExpMonth, 
ExpYear, 
ModifiedDate
) 
select top 10
CardType,
CardNumber_encrypt = EncryptByKey(KEY_GUID('SymmetricByCert'), CardNumber),
ExpMonth,
ExpYear, 
ModifiedDate
from Sales.CreditCard

代码5.利用证书加密过的对称密钥加密数据

此时加密列无法直接进行查看,如图6所示:

图6.无法直接查看加密的列

此时可以通过对应的解密函数查看数据，如代码6所示。

OPEN SYMMETRIC KEY SymmetricByCert
DECRYPTION BY CERTIFICATE CertTest

select CardType,
CardNumber = convert(nvarchar(25), DecryptByKey(CardNumber_encrypt)), 
ExpMonth, 
ExpYear, 
ModifiedDate
from Sales.CreditCard_encrypt

图6.由对应的解密函数查看加密的数据

所得到的结果如图7所示。

图7.解密后结果可以正确显示

利用非对称密钥和证书进行加密解密只是函数不同，这里就不测试了。

透明数据加密(Transparent Data Encryption)

在SQL Server 2008中引入了透明数据加密(以下简称TDE)，之所以叫透明数据加密，是因为这种加密在使用数据库的程序或用户看来，就好像没有加密一样。TDE加密 是数据库级别的。数据的加密和解密是以页为单位，由数据引擎执行的。在写入时进行加密，在读出时进行解密。客户端程序完全不用做任何操作。

TDE的主要作用是防止数据库备份或数据文件被偷了以后，偷数据库备份或文件的人在没有数据加密密钥的情况下是无法恢复或附加数据库的。

TDE使用数据加密密钥（DEK）进行加密。DEK是存在Master数据库中由服务主密钥保护，由的保护层级如图8所示。

图8.TDE的加密层次

开启TDE的数据库的日志和备份都会被自动加密。

因为TDE使得数据库在写入时加密，在读出时解密，因此需要额外的CPU资源，根据微软的说法，需要额外3%-5%的CPU资源。

下面我们来看如何开启TDE

开启TDE非常简单，只需创建数据加密密钥（DEK）后，将加密选项开启就行，如代码7所示。

--基于我们之前创建的证书CertTest,创建DEK
--CertTest需要在Master数据库中
USE AdventureWorks
GO 
CREATE DATABASE ENCRYPTION KEY 
WITH ALGORITHM = AES_256 
ENCRYPTION BY SERVER CERTIFICATE CertTest
GO
--开启TDE
ALTER DATABASE AdventureWorks
SET ENCRYPTION ON

代码7.创建DEK后，开启TDE

这里值得注意的是，DEK是存在所开启TDE的数据库中的。当然，这个操作我们也可以通过在SSMS中右键点击需要开始TDE的数据库，选择任务–管理数据库加密来进行。如图9所示。

图9.在SSMS中开启TDE

开启TDE后，我们可以通过图10的语句查看TDE的状态。

图10.查看数据库加密状态

总结

本文介绍了加密的基本概念，SQL Server中加密的层级，以及SQL Server中提供的两种不同的加密方式。SQL Server的TDE是一个非常强大的功能，在用户程序中不做任何改变就能达到数据库层面的安全。在使用SQL Server提供的加密技术之前，一定要先对加密的各个功能概念有一个系统的了解，否则很有可能造成的后果是打不开数据库。准备在后续文章中再写关于证 书，密钥的备份和恢复….

页面静态化最大的好处是利于SEO，即使是伪静态，搜索引擎也会觉得这是一个较为友好的 Url。Url的友好也取决于其命名，为一篇描述古代文学的页面起名用ancient-literature.html当然比随便起的名字例如 aa.html之流要友好。页面静态化并不代表你一定要用后缀名为.html或.htm的链接来显示你的页面，你完全可以不用任何后缀名（就像MVC一 样），只要Url结构良好。

实现静态化的三个目标：

1. 实现页面静态化，页面中的链接都用.html来表示，但每个.html实际都映射了一个.aspx页面。

例如：当用户请求index.html页面时，实际请求的是Default.aspx页面,index.html的物理路径在网站中并不存在。

2. 实现请求.aspx页面时自动跳转到对应的静态映射页面。

例如：当用户请求Default.aspx页面，自动跳重定向到index.html页面

3. 自定义404页面的实现，当请求的路径既不在映射表中，也不在网站的虚拟路径中时，它将自动跳转到我预先设定好的404页面。

实现以上要点，需要用到ASP.NET Url Routing、HttpHandler和HttpModule技术。

这是一个小系列的文章，这一篇文章将详细解说并实现第1点。

一、项目创建

1. 创建一个ASP.NET Web Application项目

2. 创建web.config文件

ASP.NET Membership在这里使用不到，所以生成的web.config配置没有用处，删掉它并重新创建一个新的web.config文件

<?xml version="1.0"?> <configuration> <system.web> <compilation debug="true" targetFramework="4.0" /> </system.web> </configuration> 

3. 将网站添加到IIS6或IIS7中

默认的ASP.NET Web Application已经为我们提供了不少页面，我就在下面的例子中将它们静态化吧。

二、页面静态化实现

1. 添加Routing引用

由于这里需要用到ASP.NET的路由映射（从.NET 3.5开始诞生），所以需要在项目中添加System.Web.Routing引用。

2. 添加WebHandler和WebModule文件夹

这两个文件夹分别用于存放IHttpHandler和IHttpModule。

3. 将所有.aspx后缀的超链接更改为.html

Site.Master文件：

<asp:Menu ID="NavigationMenu" runat="server" CssClass="menu" EnableViewState="false" IncludeStyleBlock="false" Orientation="Horizontal"> <Items> <asp:MenuItem NavigateUrl="~/Index.html" Text="Home"/> <asp:MenuItem NavigateUrl="~/About.html" Text="About"/> </Items> </asp:Menu> 

Account文件夹ChangePassword.aspx文件：

<asp:ChangePassword ID="ChangeUserPassword" runat="server" CancelDestinationPageUrl="~/" EnableViewState="false" RenderOuterTable="false" SuccessPageUrl="ChangePasswordSuccess.html"> 

当然现在这三个静态链接都访问不到，因为它们的物理地址不存在。

下面我们要做的就是：

1) 请求Index.html时实际请求的是Default.aspx

2) 请求About.html时实际请求的是About.aspx

3) 请求Account/Login.html时实际请求的是Account/Login.aspx

4. 添加自定义的IRouteHandler实现

using System.Web;
using System.Web.Compilation;
using System.Web.Routing;
using System.Web.UI;

namespace Routing_Static_Page_Demo.WebHandler
{
    public class CustomRouteHandler : IRouteHandler {
        /// <summary> /// 虚拟路径 /// </summary> public string VirtualPath { get; private set; }

        public CustomRouteHandler(string virtualPath)
        {
            this.VirtualPath = virtualPath;
        }

        /// <summary> /// 返回实际请求页 /// </summary> public IHttpHandler GetHttpHandler(RequestContext requestContext)
        {
            var page = BuildManager.CreateInstanceFromVirtualPath(VirtualPath, typeof(Page)) as IHttpHandler;
            return page;
        }
    }
}

5. 在Global.asax文件中注册路由

先来个简单的实现：

using System;
using System.IO;
using System.Web.Routing;
using Routing_Static_Page_Demo.WebHandler;

namespace Routing_Static_Page_Demo
{
    public class Global : System.Web.HttpApplication {

        void Application_Start(object sender, EventArgs e)
        {
            RegisterRoutes();
        }

        /// <summary> /// 注册路由 /// </summary> private void RegisterRoutes()
        {

            //将Index.html请求映射为Default.aspx RouteTable.Routes.Add("Default",
                                  new Route("Index.html",
                                            new CustomRouteHandler("~/Default.aspx")));

            // 将About.html请求映射为About.aspx RouteTable.Routes.Add("About",
                                  new Route("About.html",
                                            new CustomRouteHandler("~/About.aspx")));

            // 将Account/Login.html请求映射为/Account/Login.aspx RouteTable.Routes.Add("Login",
                                  new Route("Account/Login.html",
                                            new CustomRouteHandler("~/Account/Login.aspx")));
        }
    }
}

在VS中直接运行站点（VS自带的WebDev服务器），点击这些链接都能够正常访问。

三.  在IIS 7下设置站点

下面的设置很重要，因为上面在VS自带的web服务器中虽然跑通了，但IIS 7下是运行不通过的（IIS 6下的设置很简单，本文的在线Demo是运行在IIS 6下的）

1. 初次在IIS 7下运行该网站，会出现下面的错误。

这是因为IIS对该Web站点目录没有读写权限。

在IIS下：右键站点 >  Edit Permissions > Security > Edit > Add > 输入IIS_IUSRS > Check Names > OK。

选择完毕后，为IIS_IUSRS用户添加Full Control权限。

2. 添加完该设置后，再运行一次网站，可能会出现下面的错误。

按照上面的步骤添加IUSR用户，为IUSR用户分配Read权限即可。

再次运行网站，能够正常访问页面了。

3.  配置web.config

网站虽然能运行，但是点击Home或About链接时会出现404错误。

i. 首先确保在安装IIS时你已经勾选了HTTP Reirection

如果没有安装这个功能，按照如下设置再配置一遍IIS

Control Panel –> Progams –> Turn off windows features –> World wide web Services –> Common HTTP Features –> HTTP Redirection

ii. 修改web.config文件，在webserver中注册RoutingHandler和RoutingModule

<?xml version="1.0" encoding="UTF-8"?> <configuration> <system.web> <compilation debug="true" targetFramework="4.0" /> </system.web> <system.webServer> <modules runAllManagedModulesForAllRequests="true"> <remove name="UrlRoutingModule"/> <add name="UrlRoutingModule" type="System.Web.Routing.UrlRoutingModule, System.Web, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" /> </modules> <handlers> <add name="UrlRoutingHandler" 
                                  preCondition="integratedMode" 
                                  verb="*" path="UrlRouting.axd"
                                  type="System.Web.HttpForbiddenHandler, System.Web, Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/> </handlers> </system.webServer> </configuration> 

注意： 如果你采用的是ASP.NET 3.5 Routing或使用IIS 6，web.config配置会不一样。

iii. 确保web站点的应用程序池选择的是集成模式，因为ASP.NET 4.0 Routing并不支持经典模式

OK，似乎所有的该配置的地方都配置了，那么再去点击Index.html或About.html链接试试吧。

如果现在去访问Login.html页面，还是会得到一个401.3的错误，更改Account目录下的web.config文件：

<?xml version="1.0"?> <configuration> <location path="Register.aspx"> <system.web> <authorization> <allow users="*"/> </authorization> </system.web> </location> <system.web> <!--<authorization> <deny users="?"/> </authorization>--> </system.web> </configuration> 

如果你不需要这个web.config文件，直接删掉也可以。

四. 更改RegisterRoutes方法

上面提供的注册路由的方式属于硬编码，需要为每一个.aspx页面指定映射路由。Account目录下还有一些.aspx文件，如果增加别的目录也存放.aspx页面，为了让每个页面都静态化，RegisterRoutes方法将会是产生很多重复代码。

using System;
using System.IO;
using System.Web.Routing;
using Routing_Static_Page_Demo.WebHandler;

namespace Routing_Static_Page_Demo
{
    public class Global : System.Web.HttpApplication {

        void Application_Start(object sender, EventArgs e)
        {
            RegisterRoutes();
        }

        /// <summary> /// 注册路由 /// </summary> private void RegisterRoutes()
        {

            //将Index.html请求映射为Default.aspx RouteTable.Routes.Add("Default",
                                  new Route("Index.html",
                                            new CustomRouteHandler("~/Default.aspx")));

            // 将About.html请求映射为About.aspx RouteTable.Routes.Add("About",
                                  new Route("About.html",
                                            new CustomRouteHandler("~/About.aspx")));

            // 遍历页面存放目录，为每个.aspx页面添加路由映射 foreach (string mapPth in _pageMapPath)
            {
                string path = Server.MapPath(mapPth);
                var directoryInfo = new DirectoryInfo(path);
                foreach (FileInfo f in directoryInfo.GetFiles())
                {
                    string fileName = f.Name;
                    if (fileName.EndsWith(".aspx"))
                    {
                        string routeName = fileName.Substring(0, fileName.Length - 5);
                        string url = string.Concat(mapPth.Substring(2), routeName, ".html");
                        RouteTable.Routes.Add(routeName,
                                              new Route(url,
                                                        new CustomRouteHandler(string.Concat(mapPth, fileName))));
                    }
                }
            }

        }

        // 页面存放目录 private readonly string[] _pageMapPath = {@"~/Account/"};
    }
}

以上代码就能实现为每个.aspx页面注册路由实现静态化。