urldecode和rawurldecode慎重使用,解密多次会导致值丢失

最新推荐文章于 2021-09-27 11:30:51 发布
最新推荐文章于 2021-09-27 11:30:51 发布
阅读量2.9k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zealiar/article/details/82260022
版权

 PHP中常用过滤函数如addslashes()、mysql_real_escape_string()、mysql_escape_string()或者使用魔术引号GPC开关来防止注入,原理都是给单引号(’)、双引号(”)、反斜杠(\)和NULL等特殊字符前面加上反斜杠来进行转义。

        但是这些函数在遇到urldecode()函数时,就会因为二次解码引发注入。urldecode()函数是对已编码的URL进行解码。引发注入的原因其实很简单,PHP本身在处理提交的数据之前会进行一次解码,例如/test.php?id=1这个URL,我们构造字符串/test.php?id=1%2527,PHP第一次解码,%25解码成了%,于是url变成了/test.php?id=%27;然后urldecode()函数又进行了一次解码,%27解码成了’,于是最终URL变成了/test.php?id=1’,单引号引发了注入。rawurldecode()也会产生同样的问题,因此这两个函数需要慎用。

Zealiar
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Python3中urlencode和urldecode的用法详解
09-19
今天小编就为大家分享一篇Python3中urlencode和urldecode的用法详解,具有很好的参考价,希望对大家有所帮助。一起跟随小编过来看看吧
使用Oracle的Decode函数进行多判断
09-10
decode函数比较表达式和搜索字,如果匹配,返回结果;如果不匹配,返回default;如果未定义default,则返回空
PHP urldecode导致+(加号变成空格)
qq_36384765的博客
08-24 1394
在一次对接第三放接口接收回调请求时发现数据是已urlencode之后请求过来的 经过urldecode之后再base64解密发现数据乱码,打印之后发现是urldecode之后的字符串中的+被解析成了空格导致解密错误 $raw = file_get_contents("php://input"); ##解密url parse_str(rawurldecode($raw), $arr); $data = json_decode($arr['
rawurlencode()和urlencode()函数区别
记录一些工作日常和学习
10-21 2994
今天在阅读开源代码时发现了一个URL的编码函数:rawurlencode(),以前一直没有注意过,因为在平时的开发上主要使用的是 urlencode(),故专门研究了一番。 其实这两个函数的区别很简单,它们两个都URL中的非英文字符进行转义,替换成”%”后跟两位十六进制数,不同的是:rawurlencode 遵守是94年国际标准备忘录RFC 1738,对空格的转义是’%20′;而urlencode的编码实现的是传统做法,和POST表单数据一样把空格转义成”+”号。 举个例子: 如果URL地址源的形
PHP urlecode urldecode rawurldecode() rawurldecode 区别
梦一笑轩
12-12 6152
PHP中对于URL进行编码,可以使用 urlencode() 或者 rawurlencode(),二者的区别是前者把空格编码为 '+',而后者把空格编码为 '%20',不过应该注意的是,在编码时应该只对部分URL编码,否则URL中的冒号和反斜杠也被转义。下面是详细解释:///\\\  string urlencode ( string str)  返回字符串,此字符串中除了 -_. 之外的所
为什么要多次使用urlencode对字符串进行编码?
qq_43229040的博客
09-27 452
因为在做对接的时候(比如别人对接你),你不知道人家用什么编码规则提交参数。这个时候在客户端对参数进行二次编码可以避免多字节字符的棘手问题。 两次编码: 第一次编码 第二次编码 参数内容就没有多字节字符了,说白了就是一个ASCII字符串。 接收的容器解一次,不管是GBK、UTF-8 都能得到一个ASCII字符串。 ...
php ur编码,PHP:url编码问题(rawurlencode和rawurldecode
weixin_39746794的博客
03-22 207
我正在创建一个令牌,我将其作为页面上URL的一部分传递 . 我使用 rawurlencode ()对字符串进行编码并将其作为令牌发送,但是,我发现当我解码收到的令牌(作为URL参数传递)时,我得到一个稍微不同的字符串 .我的网址如下所示:/path/to/file.html?token=abcd123这是我正在使用的代码片段 . 我做的任何东西显然都是错的吗?如果失败了,有没有更好的方法来创建(加...
PHP的rawurlencode和urlencode 函数
weixin_33819479的博客
05-21 238
2019独角兽企业重金招聘Python工程师标准>>> ...
对编码内容多次UrlDecode
weixin_30784945的博客
10-17 505
对编码内容多次UrlDecode,并不影响最终结果。 尝试阅读了微软的源代码,不过不容易读懂。 网址:https://referencesource.microsoft.com/#System/net/System/Net/WebUtility.cs,73c04b8a4fde5039 以下为从网址上复制下来的一些关键代码,不过没看懂。 public static string ...
PHP中编码解码urlencode()、urldecode()、rawurlencode()、rawurldecode()
热门推荐
shao.bing的专栏
04-12 1万+
<br />在PHP中有urlencode()、urldecode()、rawurlencode()、rawurldecode()这些函数来解决网页URL编码解码问题。<br />在ASP的时候URL编码解码很是恼火,Server.urlencode不太好用,遇到utf-8编码的地址更是麻烦。你要获取百度、Google点击到网站的网址链接中的关键字,要写上一堆自定义函数来得到urldecode的效果。<br />摘录一篇关于PHP urlencode()函数的文章,对PHP处理URL作全面了解,文章来自37
ASP的URLDecode函数URLEncode解码函数
01-02
代码如下:‘================================================ ‘函数名:URLDecode ‘作 用:URL解码 ‘================================================ Function URLDecode(ByVal urlcode) Dim start,final,...
大文件UrlDecode工具
12-12
UrlDecode是我们天天要用的东西了,小的字符串,我们直接拷到在线网站上处理掉,大量数据呢?这个工具可以高效离线处理,亲测200GB日志,完全满足您的需求。
php几种编码与序列化(rawurlencode, igbinary,json_encode)的区别
藏经阁
09-28 1049
最近,在公司负责第三方短信运营商对接开发时,遇到了转码和序列化的问题,再请教了大神之后才终于解决了,下边重点回顾下PHP中的各种序列化和编码的功能和应用场景。 一、urlencode与urldecode 功能:便于将字符串编码并将其用于 URL 的请求部分,同时它还便于将变量传递给下一页。 场景:此字符串中除了 -_. 之外的所有非字母数字字符都将被替换成百分号(%)后跟两位十六进制数,空格...
rawurlencode java_浅谈php中urlencode与rawurlencode的区别
weixin_42303285的博客
02-21 325
前段时间说自己遇到了个《URL加号引发错误》的BUG,引起这个bug的原因就是自己在URL使用urlencode 函数,该函数把空格转换成加号,这样就导致URL解析出错,而空格只有转换成 %20 才可以可以正常解析,这时我们就需要使用 rawurlencode 函数。下面就介绍一下 urlencode 函数与 rawurlencode 函数的区别:urlencode 函数:返回字符串,此字...
urldecode()二次解码引发注入
qlxmy的博客
02-16 1万+
PHP中常用过滤函数如addslashes()、mysql_real_escape_string()、mysql_escape_string()或者使用魔术引号GPC开关来防止注入,原理都是给单引号(’)、双引号(”)、反斜杠(\)和NULL等特殊字符前面加上反斜杠来进行转义。         但是这些函数在遇到urldecode()函数时,就因为二次解码引发注入。urldecode()函数是
C#,数计算,解微分方程的龙格-库塔二阶方法与源代码
最新发布
04-25
C#,数计算,解微分方程的龙格-库塔二阶方法与源代码 微分方程 含有导数或微分的方程称为微分方程,未知函数为一元函数的微分方程称为常微分方程。 微分方程的阶数 微分方程中导数或微分的最高阶数称为微分方程的阶数。 微分方程的解 使得微分方程成立的函数称为微分方程的解。 微分方程的特解 微分方程的不含任意常数的解称为微分方程的特解。 微分方程的通解 所含相互独立的任意常数的个数与微分方程的阶数相等的微分方程的解称为微分方程的通解。
python urldecode
08-19
在Python中进行URL解码操作可以使用urllib.parse库中的unquote函数。以下是一个示例代码: ``` import urllib.parse def urldecode(url): decoded_url = urllib.parse.unquote(url) return decoded_url # 示例用法 encoded_url = "http%3A%2F%2Fwww.baidu.com" decoded_url = urldecode(encoded_url) print(decoded_url) ``` 在这个示例中,我们导入了urllib.parse库,并定义了一个名为urldecode的函数。该函数接受一个经过URL编码的字符串作为参数,并使用urllib.parse.unquote函数对其进行解码。最后,我们使用示例进行测试,并打印解码后的URL。 所以,要在Python中进行URL解码操作,你可以使用urllib.parse.unquote函数。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [python 中的 urlencode 编码与 urldecode 解码](https://blog.csdn.net/csdnzouqi/article/details/123394132)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Python常用函数(urlencode 与 urldecode)](https://blog.csdn.net/m0_59485658/article/details/128265688)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值