当URL出现%E2%80%8E
就代表你的URL里面有包含一个ZERO-WIDTH SPACE (ZWSP)
这个是肉眼无法发现的空白,有时候你会觉得明明已经按下→
了,却怎么游标还在原地,没有移动到下一个字元去
这种时候就代表这两个字元中间有一个ZWSP的存在
ZWSP一般情况是打不出来的,但是如果你是透过WORD等等的文件编辑器复制贴上的
就很有可能含有ZWSP,一般情况下ZWSP并不影响阅读
但是当它变成URL的一部分,就会变成%E2%80%8E
,使你的URL错误
这都还算是好发现且好解决的
要是当他要拿来当hash的值做验证,如同下面这样
if(sha1($password)!== sha1($_POST['password'])){ // no permission }
就会发现密码看起来一样,可是却怎么也过不了的鬼打墙…
查起来很痛苦的…
可以透过下面的程式码过滤掉
// remove zero width space
$value = str_replace("\xe2\x80\x8b", '', $value);
$value = str_replace("\xe2\x80\x8c", '', $value);
$value = str_replace("\xe2\x80\x8d", '', $value);
参考资料: