CI自动过滤掉百分号%后两位的问题解决-php手册-PHP中文网

首页

php教程

php手册

CI自动过滤掉百分号%后两位的问题解决

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 am 09:39 AM

codeigniter

在 CodeIgniter 做的网站里，想输入一段代码：

$var = sprintf("%04d", 2);

但是发现入库后，代码变成了

$var = sprintf("d", 2);

在网上环境，本地环境都测试过，最终确认是 CodeIgniter 系统的问题。下面谈一下问题解决的过程与思维方法：

1. 是 config.php 的 permitted_uri_chars 吗？

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_\-';

在 stackoverflow 上找到几个差不多的问题，有答案说改 config.php 的 permitted_uri_chars 就行了。

Ahem... after looking at your sample string again. Here is why you get "The URI you submitted has disallowed characters".

Short explanation: Add the ampersand & to the allowed characters list
$config['permitted_uri_chars'] = 'a-z 0-9~%.:_+&-';

试过了，没效果，于是就查找应用了 $config['permitted_uri_chars'] 的代码。

2. 是 core/Input.php 的 _clean_input_keys() 函数问题吗？

	function _clean_input_keys($str)   
	{   
		$config = &get_config('config');   
		if ( ! preg_match("/^[".$config['permitted_uri_chars']."]+$/i", rawurlencode($str)))   
		{   
			exit('Disallowed Key Characters.');   
		}   
		
		// Clean UTF-8 if supported
		if (UTF8_ENABLED === TRUE)
		{
			$str = $this->uni->clean_string($str);
		}
		return $str;   
	}

这个函数使用了 $config['permitted_uri_chars'] 直接过滤 post 过来的数据，很大原因就是元凶了。我把它单独出来，经过测试发现，post $var = sprintf("%04d", 2); 过来，结果还是 $var = sprintf("%04d", 2); ，%04并未被过滤，看来还得细细地找。

3. 是 xss 的防御机制吗？

stackoverflow 有个人说他完美解决了这个问题，是 xss clean 的原因。

:) God damn URLDECODE, I have looked at the code in URI.php but the xss clean is doing the job so I missed it. Thank you now everything is perfect. – RaduM

于是我找到了 core/security.php 下的 xss_clean() 函数。把函数体代码全部注释掉，发现输入还是会把 %04 过滤掉，显然也不是 xss 的问题。

4. 问题出在 _clean_input_data() 函数

重新回到 Input.php，发现 _clean_input_data 与 _clean_input_keys 有联系。

$new_array[$this->_clean_input_keys($key)] = $this->_clean_input_data($val);

于是把 _clean_input_data() 的函数体注释掉，竟然输入没被过滤了。继续缩小范围，发现是这段代码惹得祸：

// Remove control characters
// 就是这个会把%0x过滤掉
$str = remove_invisible_characters($str);

5. 元凶找到了 remove_invisible_characters() 函数

那么 remove_invisible_characters() 这个函数是什么呢？

这个函数在 core/Common.php中，我把它揪出来：

	function remove_invisible_characters($str, $url_encoded = TRUE)
	{
		$non_displayables = array();
		
		// every control character except newline (dec 10)
		// carriage return (dec 13), and horizontal tab (dec 09)
		
		if ($url_encoded)
		{
			$non_displayables[] = '/%0[0-8bcef]/';	// url encoded 00-08, 11, 12, 14, 15
			$non_displayables[] = '/%1[0-9a-f]/';	// url encoded 16-31
		}
		
		$non_displayables[] = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S';	// 00-08, 11, 12, 14-31, 127

		do
		{
			$str = preg_replace($non_displayables, '', $str, -1, $count);
		}
		while ($count);

		return $str;
	}

看这么几行代码：

if ($url_encoded)
{
	$non_displayables[] = '/%0[0-8bcef]/';	// url encoded 00-08, 11, 12, 14, 15
	$non_displayables[] = '/%1[0-9a-f]/';	// url encoded 16-31
}

明确了吧，他会把%0与%1开头的3个字符过滤掉。直接把这个注释掉，问题解决。

记录这个问题解决的思维全过程。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

如何在CodeIgniter中实现自定义中间件Jul 29, 2023 am 10:53 AM

如何在CodeIgniter中实现自定义中间件引言:在现代的Web开发中，中间件在应用程序中起着至关重要的作用。它们可以用来执行在请求到达控制器之前或之后执行一些共享的处理逻辑。CodeIgniter作为一个流行的PHP框架，也支持中间件的使用。本文将介绍如何在CodeIgniter中实现自定义中间件，并提供一个简单的代码示例。中间件概述:中间件是一种在请求

CodeIgniter中间件：加速应用程序的响应速度和页面渲染Jul 28, 2023 pm 06:51 PM

CodeIgniter中间件：加速应用程序的响应速度和页面渲染概述：随着网络应用程序的复杂性和交互性不断增长，开发人员需要使用更加高效和可扩展的解决方案来提高应用程序的性能和响应速度。CodeIgniter（CI）是一种基于PHP的轻量级框架，提供了许多有用的功能，其中之一就是中间件。中间件是在请求到达控制器之前或之后执行的一系列任务。这篇文章将介绍如何使用

在CodeIgniter框架中使用数据库查询构建器（Query Builder）的方法Jul 28, 2023 pm 11:13 PM

在CodeIgniter框架中使用数据库查询构建器（QueryBuilder）的方法引言：CodeIgniter是一个轻量级的PHP框架，它提供了许多功能强大的工具和库，方便开发人员进行Web应用程序开发。其中一个令人印象深刻的功能是数据库查询构建器（QueryBuilder），它提供了一种简洁而强大的方法来构建和执行数据库查询语句。本文将介绍如何在Co

php如何使用CodeIgniter5框架？Jun 01, 2023 am 11:21 AM

CodeIgniter是一个轻量级的PHP框架，采用MVC架构，支持快速开发和简化常见任务。CodeIgniter5是该框架的最新版本，提供了许多新的特性和改进。本文将介绍如何使用CodeIgniter5框架来构建一个简单的Web应用程序。步骤1：安装CodeIgniter5下载和安装CodeIgniter5非常简单，只需要遵循以下步骤：下载最新版本

PHP开发：使用 CodeIgniter 实现 MVC 模式和 RESTful APIJun 16, 2023 am 08:09 AM

随着Web应用程序的不断发展，更加快速和高效地开发应用程序变得非常重要。并且，随着RESTfulAPI在Web应用程序中的广泛应用，对于开发人员来说，必须理解如何创建和实现RESTfulAPI。在本文中，我们将讨论如何使用CodeIgniter框架实现MVC模式和RESTfulAPI。MVC模式简介MVC(Model-Vie

使用PHP框架CodeIgniter开发一个实时聊天应用，提供便捷的通讯服务Jun 27, 2023 pm 02:49 PM

随着移动互联网的发展，即时通信变得越来越重要，越来越普及。对于很多企业而言，实时聊天更像是一种通信服务，提供便捷的沟通方式，可以快速有效地解决业务方面的问题。基于此，本文将介绍如何使用PHP框架CodeIgniter开发一个实时聊天应用。了解CodeIgniter框架CodeIgniter是一个轻量级的PHP框架，提供了一系列的简便的工具和库，帮助开发者快速

如何使用PHP框架CodeIgniter快速搭建一个后台管理系统Jun 27, 2023 am 09:46 AM

现今互联网时代，一款深受用户喜爱的网站必须具备简洁明了的前端界面和功能强大的后台管理系统，而PHP框架CodeIgniter则是一款能够让开发者快速搭建后台管理系统的优秀框架。CodeIgniter拥有轻量级、高效率、易扩展等特点，本文将针对初学者，详细说明如何通过该框架快速搭建一个后台管理系统。一、安装配置安装PHPCodeIgniter是一个基于PHP的

$php如何使用CodeIgniter\Config进行配置管理？$ php如何使用CodeIgniter\Config进行配置管理？Jun 02, 2023 pm 06:01 PM

一、CodeIgniter简介CodeIgniter是一个轻量级且全面的PHP开发框架，旨在为Web开发人员提供快速且强大的工具来构建Web应用程序。它是一个开源的框架，使用MVC架构模式来实现快速开发和基础功能，同时支持多种数据库。二、Config库简介Config库是CodeIgniter框架中的一个组件，用于对代码进行配置管理。Config库包含了很多

See all articles