在 CodeIgniter 中允许 URL 中的任何字符
Posted
技术标签:
【中文标题】在 CodeIgniter 中允许 URL 中的任何字符【英文标题】:Allowing any character in the URL in CodeIgniter 【发布时间】:2011-05-09 09:32:20 【问题描述】:我正在使用 CodeIgniter php 框架。我用JS动态加载一个PHP页面:
$('someIFrame').writeAttribute(
'src',
'/index.php/controller/method/' +
escape(userGeneratedString)
);
当我运行这个时,CodeIgniter 给了我这个错误:
http://192.168.0.81/index.php/controller/method/dude%27s%20face
An Error Was Encountered
The URI you submitted has disallowed characters.
这完全不正确,因为相关 URL 不包含任何不允许的字符。我的配置文件允许该 URL 中存在的所有字符:
$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
所以我很沮丧,只允许所有字符来防止错误。
// Leave blank to allow all characters -- but only if you are insane.
// DO NOT CHANGE THIS UNLESS YOU FULLY UNDERSTAND THE REPERCUSSIONS!!
//$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
$config['permitted_uri_chars'] = '';
这条线上方的警告信息听起来很吓人。允许所有字符可能会出现什么问题?我会被黑客入侵吗?
【问题讨论】:
参见Information Security: Why is it dangerous to allow all characters in a URL? 【参考方案1】:codeigniter 中的 url 是 urldecoded,因此 %27
转换为 '
,它不在您的允许字符列表中,因此触发了错误。所以你需要允许字符解码一次。
换句话说,当 codeigniter 看到你 %27
时,它已经被解码为 '
。
Source
【讨论】:
以上是关于在 CodeIgniter 中允许 URL 中的任何字符的主要内容,如果未能解决你的问题,请参考以下文章