PHP $_GET参数中&符号的正确处理与避免截断

1. 问题现象与原因分析

在web开发中，我们经常需要通过url传递参数。一个常见的场景是，url参数的值中可能包含特殊字符。例如，假设我们有一个url如下：

page.php?clss_type=Boys%20&%20Girls

这里，clss_type参数的值是Boys & Girls。在URL中，空格通常被编码为%20。然而，&符号在这里并未被编码。当PHP尝试使用$_GET来获取这个参数时，会出现数据截断的问题：

<?php
echo $class = $_GET['clss_type'];
?>

预期输出： Boys & Girls实际输出： Boys

可以看到，&符号后面的内容%20Girls被自动忽略了。

问题原因： PHP默认将&字符视为URL查询字符串中不同参数之间的分隔符。例如，在?param1=value1¶m2=value2中，&将param1和param2分隔开。当PHP的$_GET超全局变量解析URL时，如果遇到未编码的&，它会错误地将其识别为一个新参数的开始，从而导致当前参数（clss_type）的值在&处被截断。

2. 解决方案

解决此问题主要有两种方法：URL编码特殊字符（推荐）和修改PHP配置。

立即学习“PHP免费学习笔记（深入）”；

2.1. URL编码 & 字符 (推荐)

这是处理URL参数中特殊字符的标准和推荐方法。

原理： 在构建URL时，所有可能引起歧义的特殊字符都应该进行URL编码。对于&符号，其URL编码是%26。通过将&编码为%26，我们告诉服务器和浏览器，这个%26是参数值的一部分，而不是参数分隔符。

示例：

1. 原始值： Boys & Girls
2. 正确的URL编码： Boys%20%26%20Girls (注意空格也应编码为%20)
3. 构建的URL： page.php?clss_type=Boys%20%26%20Girls

PHP中的实现： 在生成URL时，使用urlencode()函数对参数值进行编码。PHP的$_GET在接收到URL编码的参数后，会自动对其进行解码。

生成URL的代码示例：

<?php
$classType = "Boys & Girls";
// 使用 urlencode() 函数对参数值进行编码
$encodedClassType = urlencode($classType); 
// 此时 $encodedClassType 的值可能是 "Boys+%26+Girls" 或 "Boys%20%26%20Girls"
// 浏览器通常会将 + 转换为 %20 显示，但两者在URL解码时都表示空格。
// 如果需要严格的 %20，可以进一步处理：str_replace('+', '%20', $encodedClassType);

$url = "page.php?clss_type=" . $encodedClassType;
echo "生成的URL: " . $url . "<br>";
// 假设输出为: 生成的URL: page.php?clss_type=Boys%20%26%20Girls
?>

接收URL参数的代码示例：

<?php
// 假设浏览器访问的URL是 page.php?clss_type=Boys%20%26%20Girls
if (isset($_GET['clss_type'])) {
    $class = $_GET['clss_type'];
    echo "通过_GET获取的值: " . $class; // 输出: Boys & Girls
} else {
    echo "参数clss_type未找到。";
}
?>

优点：

• 符合Web标准： 这是处理URL特殊字符的规范方式。
• 无需服务器配置： 不依赖于服务器的php.ini配置，易于部署和维护。
• 兼容性强： 适用于所有浏览器和Web服务器环境。
• 数据完整性： 确保参数值完整无损地传输。

注意事项： 始终在构建URL参数时，对参数值使用urlencode()函数进行编码，以避免潜在的问题。

2.2. 修改 php.ini 配置

此方法通过更改PHP解析URL参数时使用的分隔符来解决问题。

原理：php.ini中的arg_separator.input指令定义了PHP在解析输入URL时，哪些字符被视为参数分隔符。默认情况下，它包含&和;。通过修改此指令，我们可以将&从分隔符列表中移除，或添加其他字符。

配置项： arg_separator.input默认值： &;

修改方法：

1. 找到 php.ini 文件： 通常位于PHP安装目录或Web服务器配置目录中。你可以通过phpinfo()函数找到Loaded Configuration File的路径。

2. 编辑 php.ini： 搜索arg_separator.input。

3. 修改值：

   • 方法一（不推荐，可能导致新问题）： 如果你将arg_separator.input设置为一个不包含&的字符（例如，只设置为;），那么URL中的&将不再被PHP视为分隔符。

     ; 默认值
     ; arg_separator.input = "&;"
     ; 修改为只使用分号作为分隔符
     arg_separator.input = ";"

     登录后复制

     注意： 这样做意味着URL中所有的&都会被视为参数值的一部分，即使它们本来是用来分隔不同参数的。例如，page.php?clss_type=Boys & Girls&other=value在这种配置下，$_GET['clss_type']将获取到Boys & Girls&other=value，而other参数将无法被单独识别。这会引入新的解析问题。

   • 方法二（更稳妥但仍不推荐作为首选）： 确保你的URL参数值始终是URL编码的。修改php.ini通常是为了兼容一些老旧系统或特殊需求。

4. 重启Web服务器： 修改php.ini后，需要重启Web服务器（如Apache, Nginx, PHP-FPM）才能使配置生效。

优点：

• 一旦配置，所有$_GET请求都会受影响，无需在代码中重复编码（但强烈建议仍然编码）。

缺点：

• 需要服务器权限： 修改php.ini通常需要管理员权限。
• 全局影响： 这种修改是全局性的，可能会影响服务器上运行的其他PHP应用程序，如果它们依赖于&作为分隔符。
• 违反URL标准： 如果不小心配置，可能导致URL解析行为偏离标准，与其他系统交互时可能出现问题。
• 部署复杂性： 在共享主机环境中，可能不允许修改php.ini。

注意事项： 除非有非常特殊的兼容性需求或遗留系统限制，否则不建议修改此配置。即使修改，也应充分理解其潜在影响，并进行彻底测试。URL编码始终是更安全、更通用的解决方案。

3. 总结与最佳实践

PHP $_GET在处理URL参数中包含&符号时，默认行为是将其视为参数分隔符，从而导致数据截断。为避免此问题，最标准、最推荐且最安全的做法是在生成URL时，始终使用urlencode()函数对参数值进行编码。这种方法符合Web标准，无需修改服务器配置，具有最佳的兼容性和可维护性。

修改php.ini中的arg_separator.input虽然也能在特定条件下解决问题，但因其全局性影响、潜在的兼容性风险以及对URL标准的一定偏离，通常不作为首选方案，仅在特定场景下作为备选。遵循URL编码的最佳实践，可以确保数据传输的完整性和应用的健壮性。

以上就是PHP $_GET参数中&符号的正确处理与避免截断的详细内容，更多请关注php中文网其它相关文章！