使用 afnetworking 在 GET 方法的 url 中传递参数

Posted 2023-02-24

【中文标题】使用 afnetworking 在 GET 方法的 url 中传递参数

【英文标题】：Passing parameter in url for GET method using afnetworking

【发布时间】：2014-01-17 05:42:21

【问题描述】：

我有执行查询的 url。

https://<BASE_URL>/<TENANT_URL>/?query=where UserName='abc'&companyId=&page=1&pageSize=25&filterResultByColumns=true

我正在像这样在租户 url 之后转义剩余部分，

 NSString *requestUrl = [[NSString stringWithFormat:@"%@/?query=where UserName='%@'&companyId=&page=1&pageSize=25&filterResultByColumns=true",<TENANT_URL>,userCredential.userName]stringByAddingPercentEscapesUsingEncoding:NSUTF8StringEncoding];

    requestUrl = [NSString stringWithFormat:@"%@/%@",baseurl,requestUrl];

这是我的 GET 请求。

AFHTTPRequestOperationManager *manager = [AFHTTPRequestOperationManager manager];
        AFHTTPResponseSerializer *serializer = [AFHTTPResponseSerializer serializer];

            serializer.acceptableContentTypes = [NSSet setWithObject:@"application/json"];


        manager.responseSerializer = serializer;
        manager.requestSerializer = [AFJSONRequestSerializer serializer];
    NSString *path = [NSString stringWithFormat:@"%@",URL];


    [manager GET:path parameters:parameters success:^(AFHTTPRequestOperation *operation, id responseObject) 
                    NSError* error = nil;
                    NSArray* json = [NSJSONSerialization
                                          JSONObjectWithData:responseObject

                                          options:kNilOptions 
                                          error:&error];
                    success(json);
                
                     failure:^(AFHTTPRequestOperation *operation, NSError *error) 
                         failure(error);
                     ];

但我总是收到 400 Bad request 错误。我认为问题出在“query=where ..”上。但我不确定。我如何解析 URL。我在 Chrome 中使用“POSTMAN”进行了测试。它完美地工作。但是当我运行应用程序时它会抛出一个错误。

错误：

Error Domain=AFNetworkingErrorDomain Code=-1011 "Request failed: bad request (400)" UserInfo=0xb7ac2b0 NSErrorFailingURLKey=https://<BASE_URL>/<TENANT_URL>/?query=where UserName='abc'&companyId=&page=1&pageSize=25&filterResultByColumns=true&url=https%3A%2F%2F<BASE_URL>%2F%2F<TENANT_URL>%2F%3F?query=where%2DUserName%3D%27abc%27%26companyId%3D%26page%3D1%26pageSize%3D25%26filterResultByColumns%3Dtrue, AFNetworkingOperationFailingURLResponseErrorKey=<NSHTTPURLResponse: 0xb7e6910>  URL: https://<BASE_URL>/<TENANT_URL>/?query=where UserName='abc'&companyId=&page=1&pageSize=25&filterResultByColumns=true&url=https%3A%2F%2F<BASE_URL>%2F%2F<TENANT_URL>%2F%3F?query=where%2DUserName%3D%27abc%27%26companyId%3D%26page%3D1%26pageSize%3D25%26filterResultByColumns%3Dtrue   status code: 400, headers 
    "Cache-Control" = private;
    "Content-Length" = 0;
    "Content-Type" = "text/html";
    Date = "Fri, 17 Jan 2014 05:29:56 GMT";
    Server = "Microsoft-HTTPAPI/2.0";
    "X-AspNet-Version" = "4.0.30319";
    "X-Powered-By" = "ASP.NET";
 , NSLocalizedDescription=Request failed: bad request (400)

【问题讨论】：

***.com/a/18573417/2439156

您发布的错误似乎表明您没有将实际值放入您的 URL - 它显示：https://<BASE_URL>/<TENANT_URL>/?query=where UserName='abc'&companyId=&page=1&pageSize=25&filterResultByColumns=true&url=https%3A%2F%2F<BASE_URL>%2F%2F<TENANT_URL>%2F%3F?query=where%2DUserName%3D%27abc%27%26companyId%3D%26page%3D1%26pageSize%3D25%26filterResultByColumns%3Dtrue，其中不包含任何要访问的真实网址。您确定将您创建的 URL 传递给 AFNetworking？

是的，它有真实的网址。我在这里发布了虚拟 URL。我浏览了 chrome 中的 url。它似乎工作。但是当我在模拟器上运行它时。我收到此错误。

将query=where UserName='abc' 作为 URL 的一部分传递似乎是个坏主意 - 这是原始 SQL 查询的一部分吗？如果是这样，您的 Web 服务确实需要引起注意，因为它很可能容易受到 SQL 注入攻击。它看起来也没有正确转义，因为你仍然有一个空格、'' 标记和一个等号。

当 解码 百分比编码的查询组件记录在错误消息中时，我得到：where-UserName='abc'&companyId=&page=1&pageSize=25&filterResultByColumns=true。 “where”后面的连字符“-”肯定是不正确的。所以，我想知道您之前是如何对原始查询组件进行编码的。

【参考方案1】：

您正在构建的 URL 以及您将参数传递（或不传递）到 AFNetworking 的方式似乎存在许多问题。您不需要自己构建查询字符串，因为 AFNetworking 会为您完成。正如我在上面的评论中提到的，将query=where UserName='abc' 作为 URL 的一部分传递似乎是个坏主意。但是，如果您的 URL 稍有不同，这里有一个快速示例，说明如何调用 AFNetworking 的 GET 方法：

// URL format: https://<BASE_URL>/<TENANT_URL>/?username=abc&companyId=&page=1&pageSize=25&filterResultByColumns=true

NSURL *baseURL = [NSURL URLWithScheme:@"https" host:BASE_URL path:TENANT_URL];

[manager GET:[baseURL absoluteString] 
  parameters:@ @"username": @"abc",
                @"companyId": @"example",
                @"page": @1,
                @"pageSize": @25,
                @"filterResultByColumns": @YES 
     success:^(AFHTTPRequestOperation *operation, id responseObject) 
            // handle success
            
     failure:^(AFHTTPRequestOperation *operation, NSError *error) 
            // handle failure
            ];

如果您将参数传递给 GET 方法，AFNetworking 将为您构造查询字符串。

【讨论】：

是的..你拯救了我的一天。谢谢

我收到了回复。但这似乎是不正确的。因为当我浏览 url https:////.我得到了不接受我传递的任何参数的虚拟响应。

James，您是说“将参数作为 URL 的一部分传递似乎是个坏主意”，为什么？恕我直言，这不足以利用 SQL 注入。

我并不是说作为一个整体传递参数是一个坏主意——当然，这就是 GET 请求的工作方式。我专门指的是这个参数：query=where UserName='abc' - 看起来好像它打算用作服务器端 SQL SELECT 查询的一部分。

只是好奇，@"filterResultByColumns": @YES 是否在您的 URL 中构造了 filterResultByColumns=1 或 filterResultByColumns=true？