关注我们

post需要application/x-www-form-urlencoded

LzersLzers 安全文摘 2018-04-07 327330 0

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了


在花费了半小时之后的谷歌才发现,尼玛post需要application/x-www-form-urlencoded


下面是摘抄的记录:


一、概述

在学习ajax的时候,如果用post请求,需要设置如下代码

ajax<span class="hljs-preprocessor">.setRequestHeader</span>(<span class="hljs-string">"content-type"</span>,<span class="hljs-string">"application/x-www-form-urlencoded"</span>)<span class="hljs-comment">;</span>

虽然知道需要这么做,但是不知道application/x-www-form-urlencoded表示什么意思。于是百度学习了下。


二、Form表单语法

在Form元素的语法中,EncType表明提交数据的格式 用 Enctype 属性指定将数据回发到服务器时浏览器使用的编码类型。 例如: application/x-www-form-urlencoded: 窗体数据被编码为名称/值对。这是标准的编码格式。 multipart/form-data: 窗体数据被编码为一条消息,页上的每个控件对应消息中的一个部分,这个一般文件上传时用。 text/plain: 窗体数据以纯文本形式进行编码,其中不含任何控件或格式字符。

补充


三、常用的编码方式

form的enctype属性为编码方式,常用有两种:application/x-www-form-urlencoded和multipart/form-data,默认为application/x-www-form-urlencoded。


1.x-www-form-urlencoded


当action为get时候,浏览器用x-www-form-urlencoded的编码方式把form数据转换成一个字串(name1=value1&name2=value2…),然后把这个字串append到url后面,用?分割,加载这个新的url。


2.multipart/form-data


当action为post时候,浏览器把form数据封装到http body中,然后发送到server。 如果没有type=file的控件,用默认的application/x-www-form-urlencoded就可以了。 但是如果有type=file的话,就要用到multipart/form-data了。浏览器会把整个表单以控件为单位分割,并为每个部分加上Content-Disposition(form-data或者file),Content-Type(默认为text/plain),name(控件name)等信息,并加上分割符(boundary)。


 


一、PHP获取POST数据的几种方法


方法1、最常见的方法是:$_POST[‘fieldname’];


说明:只能接收Content-Type: application/x-www-form-urlencoded提交的数据

解释:也就是表单POST过来的数据


方法2、file_get_contents(“php://input”);


说明:

允许读取 POST 的原始数据。

和 $HTTP_RAW_POST_DATA 比起来,它给内存带来的压力较小,并且不需要任何特殊的 php.ini 设置。

php://input 不能用于 enctype=”multipart/form-data”。

解释:

对于未指定 Content-Type 的POST数据,则可以使用file_get_contents(“php://input”);来获取原始数据。

事实上,用PHP接收POST的任何数据都可以使用本方法。而不用考虑Content-Type,包括二进制文件流也可以。

所以用方法二是最保险的方法


方法3、$GLOBALS[‘HTTP_RAW_POST_DATA’];


说明:

总是产生 $HTTP_RAW_POST_DATA  变量包含有原始的 POST 数据。

此变量仅在碰到未识别 MIME 类型的数据时产生。

$HTTP_RAW_POST_DATA  对于 enctype=”multipart/form-data”  表单数据不可用

如果post过来的数据不是PHP能够识别的,可以用 $GLOBALS[‘HTTP_RAW_POST_DATA’]来接收,

比如 text/xml 或者 soap 等等

解释:

$GLOBALS[‘HTTP_RAW_POST_DATA’]存放的是POST过来的原始数据。

$_POST或$_REQUEST存放的是 PHP以key=>value的形式格式化以后的数据。

但$GLOBALS[‘HTTP_RAW_POST_DATA’]中是否保存POST过来的数据取决于centent-Type的设置,即POST数据时 必须显式示指明Content-Type: application/x-www-form-urlencoded,POST的数据才会存放到 $GLOBALS[‘HTTP_RAW_POST_DATA’]中


二、演示


1、PHP 如何获取POST过来的XML数据和解析XML数据


比如我们在开发微信企业号时,如何处理用户回复过来的数据呢?

文档:http://qydev.weixin.qq.com/wiki/index.php?title=%E6%8E%A5%E6%94%B6%E6%99%AE%E9%80%9A%E6%B6%88%E6%81%AF

首先查阅文档,可知道:启用开发模式后,当用户给应用回复信息时,微信服务端会POST一串XML数据到已验证的回调URL


假设该URL为 http://www.xxx.com

Http请求方式: POST

http://www.xxx.com/?msg_signature=ASDFQWEXZCVAQFASDFASDFSS×tamp=13500001234&nonce=123412323


POST的XML内容为:


代码如下:

<xml>

<ToUserName><![CDATA[toUser]]></ToUserName>

<FromUserName><![CDATA[fromUser]]></FromUserName>

<CreateTime>1348831860</CreateTime>

<MsgType><![CDATA[text]]></MsgType>

<Content><![CDATA[this is a test]]></Content>

<MsgId>1234567890123456</MsgId>

<AgentID>1</AgentID>

</xml>

那么怎么接收这段内容呃?

这时就可以用到:方法2(file_get_contents(“php://input”))、方法3($GLOBALS[‘HTTP_RAW_POST_DATA’])


方法2(file_get_contents(“php://input”)):


代码如下:


$input = file_get_contents(“php://input”); //接收POST数据

$xml = simplexml_load_string($input); //提取POST数据为simplexml对象

var_dump($xml);

方法3($GLOBALS[‘HTTP_RAW_POST_DATA’]):


代码如下:


$input = $GLOBALS[‘HTTP_RAW_POST_DATA’];

libxml_disable_entity_loader(true);

$xml = simplexml_load_string($input, ‘SimpleXMLElement’, LIBXML_NOCDATA);

var_dump($xml);


版权声明

本文仅代表作者观点,不代表黑白网立场。
如文章侵犯了您的权利,请通过邮箱联系我们删除。
详情查看:版权纠纷
E-Mail:server@heibai.org

喜欢0评论已闭