慎用StringEscapeUtils.escapeHtml方法

慎用StringEscapeUtils.escapeHtml方法

推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能，也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。

最近在数据库里发现某个表的内容全都成了HTML entity表示，中文也全被转换成了”我”这样的格式，而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到数据库之前，用StringEscapeUtils.escapeHtml对其进行了处理。

字符串过滤是在许多Web应用开发中需要考虑的问题。比如用户输入一个左尖括号(<)，在输出HTML代码对其进行显示的话，应该用”<”来表示。是在用户将表单提交后就做转换呢，还是在从数据库取出内容向用户展示时再转换？这个问题需要仔细考虑。在入库前转换，看似一劳永逸，然而如果用户需要编辑这个内容，你需要原路退回，做个逆向的转换，这看起来比较麻烦。所以大部分的转换都是在从数据库中取出数据之后做的，struts的bean:write标签 的filter属性就是控制这个开关的（默认为true）。

而某些内容是不会被编辑的，比如一般的电子邮件，这类就可以在用户提交表单之时转换，一劳永逸。于是我使用了StringEscapeUtils.escapeHtml来做这个工作。

如果是英文内容，没有任何问题，然而它将一个中文字符转换成了8个字符。在UTF-8的编码 中，每个汉字占用三个字节，每个英文字符占用一个字节。这样的转换造成了大量的空间浪费。

简单的办法是自己写一个escapeHtml方法，替换左右尖括号就可以了。虽然还有一些HTML entity未被转换，可能造成输出的网页不符合web标准，但是大部分浏览器都可以正常显示也就够了。

对要输出的网页内容编码，网上搜的方法。

public static String htmlEncode(String source) {
        if (source == null) {
            return "";
        }
        String html = "";
        StringBuffer buffer = new StringBuffer();
        for (int i = 0; i < source.length(); i++) {
            char c = source.charAt(i);
            switch (c) {
            case '<':
                buffer.append("&lt;");
                break;
            case '>':
                buffer.append("&gt;");
                break;
            case '&':
                buffer.append("&amp;");
                break;
            case '"':
                buffer.append("&quot;");
                break;
            case 10:
            case 13:
                break;
            default:
                buffer.append(c);
            }
        }
        html = buffer.toString();
        return html;
    }