it-swarm.cn

得到 PHP 停止替换'。'$ _GET或$ _POST数组中的字符?

如果我通过$ _GET PHP在名称中用.传递PHP变量_自动用_字符替换它们。例如:

<?php
echo "url is ".$_SERVER['REQUEST_URI']."<p>";
echo "x.y is ".$_GET['x.y'].".<p>";
echo "x_y is ".$_GET['x_y'].".<p>";

...输出以下内容:

url is /SpShipTool/php/testGetUrl.php?x.y=a.b
x.y is .
x_y is a.b.

...我的问题是:有 任何 我可以让这个停止吗?不能为我的生活弄清楚我做了什么值得这样做

我运行的PHP版本是5.2.4-2ubuntu5.3。

69
Dave Carpeneto

这是PHP.net对其原因的解释:

输入变量名称中的点

通常,PHP在将变量传递到脚本时不会更改变量的名称。但是,应该注意点(句点,句号)不是PHP变量名中的有效字符。出于这个原因,看看它:

<?php
$varname.ext;  /* invalid variable name */
?>

现在,解析器看到的是一个名为$ varname的变量,后跟字符串连接运算符,后跟barestring(即与任何已知密钥或保留字不匹配的未加引号的字符串)'ext'。显然,这没有预期的结果。

因此,重要的是要注意PHP将自动用下划线替换传入变量名中的任何点。

那是来自 http://ca.php.net/variables.external

此外,根据 此评论 这些其他字符转换为下划线:

PHP转换为_(下划线)的字段名称字符的完整列表如下(不仅仅是点):

  • chr(32)()(空格)
  • chr(46)(。)(点)
  • chr(91)([)(空方括号)
  • chr(128) - chr(159)(各种)

因此看起来你已经坚持使用它,所以你必须使用 dawnerd的建议将下划线转换回脚本中的点 (我只是使用 str_replace 尽管。)

63
Jeremy Ruten

很久以来一直回答问题,但实际上有更好的答案(或解决方法)。 PHP允许你在 原始输入流 ,所以你可以这样做:

$query_string = file_get_contents('php://input');

这将为您提供查询字符串格式的$ _POST数组,它们应该是句点。

如果需要,您可以解析它(根据 POSTer的评论

<?php
// Function to fix up PHP's messing up input containing dots, etc.
// `$source` can be either 'POST' or 'GET'
function getRealInput($source) {
    $pairs = explode("&", $source == 'POST' ? file_get_contents("php://input") : $_SERVER['QUERY_STRING']);
    $vars = array();
    foreach ($pairs as $pair) {
        $nv = explode("=", $pair);
        $name = urldecode($nv[0]);
        $value = urldecode($nv[1]);
        $vars[$name] = $value;
    }
    return $vars;
}

// Wrapper functions specifically for GET and POST:
function getRealGET() { return getRealInput('GET'); }
function getRealPOST() { return getRealInput('POST'); }
?>

对于包含'。'的OpenID参数非常有用。和'_',每个都有一定的意义!

55
crb

在上面的评论中突出显示Johan的实际答案 - 我只是将我的整个帖子包装在顶级数组中,完全绕过问题而不需要繁重的处理。

在你做的形式

<input name="data[database.username]">  
<input name="data[database.password]">  
<input name="data[something.else.really.deep]">  

代替

<input name="database.username"> 
<input name="database.password"> 
<input name="something.else.really.deep">  

并在邮政处理程序中,只需打开它:

$posdata = $_POST['data'];

对我而言,这是一个两线的变化,因为我的观点完全是模板化的。

仅供参考。我在字段名称中使用点来编辑分组数据的树。

26
scipilot

这个功能的工作是我在2013年暑假期间提出的一个天才黑客。我将在某天写一篇关于它的博客文章。

此修复程序通用,并具有深层数组支持,例如a.a[x][b.a]=10。它在幕后使用parse_str()进行一些预处理。

function fix($source) {
    $source = preg_replace_callback(
        '/(^|(?<=&))[^=[&]+/',
        function($key) { return bin2hex(urldecode($key[0])); },
        $source
    );

    parse_str($source, $post);

    $result = array();
    foreach ($post as $key => $val) {
        $result[hex2bin($key)] = $val;
    }
    return $result;
}

然后你可以像这样调用这个函数,具体取决于来源:

$_POST   = fix(file_get_contents('php://input'));
$_GET    = fix($_SERVER['QUERY_STRING']);
$_COOKIE = fix($_SERVER['HTTP_COOKIE']);

对于PHP低于5.4: 使用base64_encode而不是bin2hexbase64_decode而不是hex2bin

17
Rok Kralj

发生这种情况是因为句点是变量名称中的无效字符, reason 在PHP的实现中非常深入,因此没有简单的修复(尚未)。

在此期间,您可以通过以下方式解决此问题:

  1. 通过php://input访问原始查询数据POST数据或$_SERVER['QUERY_STRING']获取GET数据
  2. 使用转换功能。

下面的转换函数(PHP> = 5.4)将每个键值对的名称编码为十六进制表示,然后执行常规parse_str();完成后,它会将十六进制名称恢复为原始形式:

function parse_qs($data)
{
    $data = preg_replace_callback('/(?:^|(?<=&))[^=[]+/', function($match) {
        return bin2hex(urldecode($match[0]));
    }, $data);

    parse_str($data, $values);

    return array_combine(array_map('hex2bin', array_keys($values)), $values);
}

// work with the raw query string
$data = parse_qs($_SERVER['QUERY_STRING']);

要么:

// handle posted data (this only works with application/x-www-form-urlencoded)
$data = parse_qs(file_get_contents('php://input'));
6
Ja͢ck

这种方法是Rok Kralj的改进版本,但需要进行一些调整,以提高效率(避免不必要的回调,对未受影响的键进行编码和解码)并正确处理数组键。

A 有测试的要点 可用,欢迎任何反馈或建议。

public function fix(&$target, $source, $keep = false) {                        
    if (!$source) {                                                            
        return;                                                                
    }                                                                          
    $keys = array();                                                           

    $source = preg_replace_callback(                                           
        '/                                                                     
        # Match at start of string or &                                        
        (?:^|(?<=&))                                                           
        # Exclude cases where the period is in brackets, e.g. foo[bar.blarg]
        [^=&\[]*                                                               
        # Affected cases: periods and spaces                                   
        (?:\.|%20)                                                             
        # Keep matching until assignment, next variable, end of string or   
        # start of an array                                                    
        [^=&\[]*                                                               
        /x',                                                                   
        function ($key) use (&$keys) {                                         
            $keys[] = $key = base64_encode(urldecode($key[0]));                
            return urlencode($key);                                            
        },                                                                     
    $source                                                                    
    );                                                                         

    if (!$keep) {                                                              
        $target = array();                                                     
    }                                                                          

    parse_str($source, $data);                                                 
    foreach ($data as $key => $val) {                                          
        // Only unprocess encoded keys                                      
        if (!in_array($key, $keys)) {                                          
            $target[$key] = $val;                                              
            continue;                                                          
        }                                                                      

        $key = base64_decode($key);                                            
        $target[$key] = $val;                                                  

        if ($keep) {                                                           
            // Keep a copy in the underscore key version                       
            $key = preg_replace('/(\.| )/', '_', $key);                        
            $target[$key] = $val;                                              
        }                                                                      
    }                                                                          
}                                                                              
5
El Yobo

发生这种情况的原因是因为PHP的旧register_globals功能。的。字符不是变量名中的有效字符,因此PHP将其转换为下划线以确保兼容性。

简而言之,在URL变量中执行句点不是一个好习惯。

4
Jeremy Privett

如果寻找 any way to 字面意思get PHP来停止替换$ _GET或$ _POST数组中的'。'字符,那么一种这样的方法就是修改PHP的源代码(在这种情况下,它是相对简单的)。

警告:修改PHP C源是一个高级选项!

另见 PHP bug报告 这表明同样的修改。

要探索你需要:

  • 下载 PHP的C源代码
  • 禁用.替换检查
  • ./ configuremake并部署您自定义的PHP版本

源更改本身是微不足道的,只涉及更新 一行的一半main/php_variables.c中:

....
/* ensure that we don't have spaces or dots in the variable name (not binary safe) */
for (p = var; *p; p++) {
    if (*p == ' ' /*|| *p == '.'*/) {
        *p='_';
....

注意:与原始的|| *p == '.'相比已被评论出来


示例输出:

给定a.a[]=bb&a.a[]=BB&c%20c=dd的QUERY_STRING,运行<?php print_r($_GET);现在产生:

数组
(
 [aa] =>数组
(
 [0] => bb 
 [1] => BB 
)
 
 [c_c] => dd 
)[。_____。]

注意:

  • 此补丁仅解决原始问题(它会停止替换点,而不是空格)。
  • 在此补丁上运行将比脚本级解决方案更快,但那些纯-.php答案通常仍然是优选的(因为它们避免更改PHP本身)。
  • 理论上,这里可以使用polyfill方法并且可以结合使用方法 - 使用parse_str()测试C级变化和(如果不可用)回退到较慢的方法。
3
humbletim

在查看了Rok的解决方案之后,我想出了一个版本,它解决了我在下面的答案中的限制,crb以上和Rok的解决方案。请参阅 我的改进版本


@ crb的答案 上面 是一个好的开始,但有几个问题。

  • 它重新处理了一切,这是过度的;只有那些有“。”的字段。在名称中需要重新处理。
  • 它无法以与原始PHP处理相同的方式处理数组,例如对于像“foo.bar []”这样的键。

下面的解决方案现在解决了这两个问题(注意它自最初发布以来已经更新)。这比我在测试中的答案快了大约50%,但是不会处理数据具有相同键的情况(或者提取相同键的键,例如foo.bar和foo_bar都被提取为foo_bar)。

<?php

public function fix2(&$target, $source, $keep = false) {                       
    if (!$source) {                                                            
        return;                                                                
    }                                                                          
    preg_match_all(                                                            
        '/                                                                     
        # Match at start of string or &                                        
        (?:^|(?<=&))                                                           
        # Exclude cases where the period is in brackets, e.g. foo[bar.blarg]
        [^=&\[]*                                                               
        # Affected cases: periods and spaces                                   
        (?:\.|%20)                                                             
        # Keep matching until assignment, next variable, end of string or   
        # start of an array                                                    
        [^=&\[]*                                                               
        /x',                                                                   
        $source,                                                               
        $matches                                                               
    );                                                                         

    foreach (current($matches) as $key) {                                      
        $key    = urldecode($key);                                             
        $badKey = preg_replace('/(\.| )/', '_', $key);                         

        if (isset($target[$badKey])) {                                         
            // Duplicate values may have already unset this                    
            $target[$key] = $target[$badKey];                                  

            if (!$keep) {                                                      
                unset($target[$badKey]);                                       
            }                                                                  
        }                                                                      
    }                                                                          
}                                                                              
2
El Yobo

我对这个问题的解决方案既快又脏,但我还是喜欢它。我只是想发布一个在表单上检查过的文件名列表。我使用base64_encode对标记中的文件名进行编码,然后在使用之前用base64_decode对其进行解码。

2
Jason

我目前的解决方案(根据前一主题回复):

function parseQueryString($data)
{
    $data = rawurldecode($data);   
    $pattern = '/(?:^|(?<=&))[^=&\[]*[^=&\[]*/';       
    $data = preg_replace_callback($pattern, function ($match){
        return bin2hex(urldecode($match[0]));
    }, $data);
    parse_str($data, $values);

    return array_combine(array_map('hex2bin', array_keys($values)), $values);
}

$_GET = parseQueryString($_SERVER['QUERY_STRING']);
0
sasha-ch

使用crb我想重新整理$_POST数组作为一个整体,但请记住,你仍然必须确保在客户端和服务器上正确编码和解码。重要的是要理解角色何时 真正 无效且真正 有效 。此外,人们应该 仍然 总是 转义客户端数据,然后使用 any database命令 无例外

<?php
unset($_POST);
$_POST = array();
$p0 = explode('&',file_get_contents('php://input'));
foreach ($p0 as $key => $value)
{
 $p1 = explode('=',$value);
 $_POST[$p1[0]] = $p1[1];
 //OR...
 //$_POST[urldecode($p1[0])] = urldecode($p1[1]);
}
print_r($_POST);
?>

我建议仅将此用于个别情况,但是我不确定将它置于主头文件顶部的负面影响。

0
John

好吧,我在下面包含的函数“getRealPostArray()”,不是一个漂亮的解决方案,但它处理数组并支持两个名称:“alpha_beta”和“alpha.beta”:

  <input type='text' value='First-.' name='alpha.beta[a.b][]' /><br>
  <input type='text' value='Second-.' name='alpha.beta[a.b][]' /><br>
  <input type='text' value='First-_' name='alpha_beta[a.b][]' /><br>
  <input type='text' value='Second-_' name='alpha_beta[a.b][]' /><br>

而var_dump($ _ POST)产生:

  'alpha_beta' => 
    array (size=1)
      'a.b' => 
        array (size=4)
          0 => string 'First-.' (length=7)
          1 => string 'Second-.' (length=8)
          2 => string 'First-_' (length=7)
          3 => string 'Second-_' (length=8)

var_dump(getRealPostArray())产生:

  'alpha.beta' => 
    array (size=1)
      'a.b' => 
        array (size=2)
          0 => string 'First-.' (length=7)
          1 => string 'Second-.' (length=8)
  'alpha_beta' => 
    array (size=1)
      'a.b' => 
        array (size=2)
          0 => string 'First-_' (length=7)
          1 => string 'Second-_' (length=8)

功能,它的价值:

function getRealPostArray() {
  if ($_SERVER['REQUEST_METHOD'] !== 'POST') {#Nothing to do
      return null;
  }
  $neverANamePart = '~#~'; #Any arbitrary string never expected in a 'name'
  $postdata = file_get_contents("php://input");
  $post = [];
  $rebuiltpairs = [];
  $postraws = explode('&', $postdata);
  foreach ($postraws as $postraw) { #Each is a string like: 'xxxx=yyyy'
    $keyvalpair = explode('=',$postraw);
    if (empty($keyvalpair[1])) {
      $keyvalpair[1] = '';
    }
    $pos = strpos($keyvalpair[0],'%5B');
    if ($pos !== false) {
      $str1 = substr($keyvalpair[0], 0, $pos);
      $str2 = substr($keyvalpair[0], $pos);
      $str1 = str_replace('.',$neverANamePart,$str1);
      $keyvalpair[0] = $str1.$str2;
    } else {
      $keyvalpair[0] = str_replace('.',$neverANamePart,$keyvalpair[0]);
    }
    $rebuiltpair = implode('=',$keyvalpair);
    $rebuiltpairs[]=$rebuiltpair;
  }
  $rebuiltpostdata = implode('&',$rebuiltpairs);
  parse_str($rebuiltpostdata, $post);
  $fixedpost = [];
  foreach ($post as $key => $val) {
    $fixedpost[str_replace($neverANamePart,'.',$key)] = $val;
  }
  return $fixedpost;
}
0
ChrisNY