post需要application/x-www-form-urlencoded

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了

在花费了半小时之后的谷歌才发现,尼玛post需要application/x-www-form-urlencoded

下面是摘抄的记录:

一、概述

在学习ajax的时候,如果用post请求,需要设置如下代码

ajax<span class="hljs-preprocessor">.setRequestHeader</span>(<span class="hljs-string">"content-type"</span>,<span class="hljs-string">"application/x-www-form-urlencoded"</span>)<span class="hljs-comment">;</span>

虽然知道需要这么做,但是不知道application/x-www-form-urlencoded表示什么意思。于是百度学习了下。

二、Form表单语法

在Form元素的语法中,EncType表明提交数据的格式 用 Enctype 属性指定将数据回发到服务器时浏览器使用的编码类型。 例如: application/x-www-form-urlencoded: 窗体数据被编码为名称/值对。这是标准的编码格式。 multipart/form-data: 窗体数据被编码为一条消息,页上的每个控件对应消息中的一个部分,这个一般文件上传时用。 text/plain: 窗体数据以纯文本形式进行编码,其中不含任何控件或格式字符。

补充

三、常用的编码方式

form的enctype属性为编码方式,常用有两种:application/x-www-form-urlencoded和multipart/form-data,默认为application/x-www-form-urlencoded。

1.x-www-form-urlencoded

当action为get时候,浏览器用x-www-form-urlencoded的编码方式把form数据转换成一个字串(name1=value1&name2=value2…),然后把这个字串append到url后面,用?分割,加载这个新的url。

2.multipart/form-data

当action为post时候,浏览器把form数据封装到http body中,然后发送到server。 如果没有type=file的控件,用默认的application/x-www-form-urlencoded就可以了。 但是如果有type=file的话,就要用到multipart/form-data了。浏览器会把整个表单以控件为单位分割,并为每个部分加上Content-Disposition(form-data或者file),Content-Type(默认为text/plain),name(控件name)等信息,并加上分割符(boundary)。

一、PHP获取POST数据的几种方法

方法1、最常见的方法是:$_POST[‘fieldname’];

说明:只能接收Content-Type: application/x-www-form-urlencoded提交的数据

解释:也就是表单POST过来的数据

方法2、file_get_contents(“php://input”);

说明:

允许读取 POST 的原始数据。

和 $HTTP_RAW_POST_DATA 比起来,它给内存带来的压力较小,并且不需要任何特殊的 php.ini 设置。

php://input 不能用于 enctype=”multipart/form-data”。

解释:

对于未指定 Content-Type 的POST数据,则可以使用file_get_contents(“php://input”);来获取原始数据。

事实上,用PHP接收POST的任何数据都可以使用本方法。而不用考虑Content-Type,包括二进制文件流也可以。

所以用方法二是最保险的方法

方法3、$GLOBALS[‘HTTP_RAW_POST_DATA’];

说明:

总是产生 $HTTP_RAW_POST_DATA  变量包含有原始的 POST 数据。

此变量仅在碰到未识别 MIME 类型的数据时产生。

$HTTP_RAW_POST_DATA  对于 enctype=”multipart/form-data”  表单数据不可用

如果post过来的数据不是PHP能够识别的,可以用 $GLOBALS[‘HTTP_RAW_POST_DATA’]来接收,

比如 text/xml 或者 soap 等等

解释:

$GLOBALS[‘HTTP_RAW_POST_DATA’]存放的是POST过来的原始数据。

$_POST或$_REQUEST存放的是 PHP以key=>value的形式格式化以后的数据。

但$GLOBALS[‘HTTP_RAW_POST_DATA’]中是否保存POST过来的数据取决于centent-Type的设置,即POST数据时 必须显式示指明Content-Type: application/x-www-form-urlencoded,POST的数据才会存放到 $GLOBALS[‘HTTP_RAW_POST_DATA’]中

二、演示

1、PHP 如何获取POST过来的XML数据和解析XML数据

比如我们在开发微信企业号时,如何处理用户回复过来的数据呢?

文档:http://qydev.weixin.qq.com/wiki/index.php?title=%E6%8E%A5%E6%94%B6%E6%99%AE%E9%80%9A%E6%B6%88%E6%81%AF

首先查阅文档,可知道:启用开发模式后,当用户给应用回复信息时,微信服务端会POST一串XML数据到已验证的回调URL

假设该URL为 http://www.xxx.com

Http请求方式: POST

http://www.xxx.com/?msg_signature=ASDFQWEXZCVAQFASDFASDFSS×tamp=13500001234&nonce=123412323

POST的XML内容为:

代码如下:

<xml>

<ToUserName><![CDATA[toUser]]></ToUserName>

<FromUserName><![CDATA[fromUser]]></FromUserName>

<CreateTime>1348831860</CreateTime>

<MsgType><![CDATA[text]]></MsgType>

<Content><![CDATA[this is a test]]></Content>

<MsgId>1234567890123456</MsgId>

<AgentID>1</AgentID>

</xml>

那么怎么接收这段内容呃?

这时就可以用到:方法2(file_get_contents(“php://input”))、方法3($GLOBALS[‘HTTP_RAW_POST_DATA’])

方法2(file_get_contents(“php://input”)):

代码如下:

$input = file_get_contents(“php://input”); //接收POST数据

$xml = simplexml_load_string($input); //提取POST数据为simplexml对象

var_dump($xml);

方法3($GLOBALS[‘HTTP_RAW_POST_DATA’]):

代码如下:

$input = $GLOBALS[‘HTTP_RAW_POST_DATA’];

libxml_disable_entity_loader(true);

$xml = simplexml_load_string($input, ‘SimpleXMLElement’, LIBXML_NOCDATA);

var_dump($xml);

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏V站

Knowledge丨WordPress数据库文件分析

折腾WordPress必须要有很厚的基础才行,深入更是要小心。西顾再次mark下来知更鸟的文章,做下笔记。想研究模板,可review下前文《Skill丨Word...

25540
来自专栏ericzli

Jetson TX1上安装Tensorflow Serving遇到的问题总结

本文的目的是分享在TX1上安装Tensorflow Serving时遇到的主要问题,避免重复踩坑。

45240
来自专栏七夜安全博客

1.4 Django基础篇--数据库模型设计

20830
来自专栏MasiMaro 的技术博文

Windows程序设计学习笔记(一)Windows内存管理初步

学习Windows程序设计也有一些时间了,为了记录自己的学习成果,以便以后查看,我希望自己能够坚持写下一系列的学习心得,对自己学习的内容进行总结,同时与大家交流...

8710
来自专栏白老大的专栏

腾讯云 Redis 集群版配置管理揭秘 ( 上 )

腾讯云 Redis(CRS)集群版已经有数千用户,售出数十 T 容量,那么 CRS 是如何做配置管理的呢?通用的集群系统都需要做配置管理分发,成员健康度检查,希...

1.4K10
来自专栏Java技术栈

IntelliJ IDEA 最常用配置详细图解,新手入门必看!

刚刚使用IntelliJ IDEA 编辑器的时候,会有很多设置,会方便以后的开发,磨刀不误砍柴工。

9830
来自专栏Python

Django admin 一些有用的设置

Django自带的后台管理是Django明显特色之一,可以让我们快速便捷管理数据。后台管理可以在各个app的admin.py文件中进行控制。以下是我最近摸索总结...

65770
来自专栏Seebug漏洞平台

CVE-2015-1641 Word 利用样本分析

00 引 子 本文我们将通过一个恶意文档的分析来理解漏洞 CVE-2015-1641(MS15-033)的具体利用过程,以此还原它在现实攻击中的应用。就目前来...

37280
来自专栏北京马哥教育

用Linux命令行生成随机密码的十种方法

Linux操作系统的一大优点是对于同样一件事情,你可以使用高达数百种方法来实现它。例如,你可以通过数十种方法来生成随机密码。本文将介绍生成随机密码的十种方法。 ...

38160
来自专栏phodal

DDM: 一个简洁的前端领域模型库

在上一篇文章《前后端分离之领域模型的思考》中,我们介绍了在前端开发中所遇到的一个问题。即: 一个模型多个上下文的问题 对于我们的几个不同业务情景下,我们只使用同...

32570

扫码关注云+社区

领取腾讯云代金券