PHP GET变量中&字符的处理：避免参数值被截断的教程

在Web开发中，我们经常需要通过URL的查询字符串（Query String）向服务器传递数据，例如 page.php?param1=value1¶m2=value2。PHP通过 $_GET 超全局变量方便地获取这些参数。然而，当参数值本身包含特殊字符，尤其是 & 符号时，可能会遇到意料之外的数据截断问题。

理解问题：URL中&字符的默认行为

PHP默认将URL查询字符串中的 & 字符视为不同GET参数之间的分隔符。这意味着，如果一个参数的值内部也包含 & 字符，PHP会错误地将其解析为新的参数的开始，从而导致原始参数的值被截断。

考虑以下URL示例： page.php?clss_type=Boys%20&%20Girls

在这个URL中，我们期望 clss_type 的值为 "Boys & Girls"。然而，当PHP脚本尝试获取这个值时：

输出结果将是： Boys

这是因为PHP在解析 clss_type=Boys%20&%20Girls 时，遇到第一个 & 字符，就认为 clss_type 参数的值到此为止，即 Boys%20 (解码后是 "Boys")。随后的 %20Girls 则被视为一个新的、没有等号的参数，或者被忽略。这种默认行为导致了数据的丢失。

立即学习“PHP免费学习笔记（深入）”；

解决方案一：URL编码&字符 (推荐)

解决此问题的最安全、最推荐的方法是对参数值中所有的特殊字符，特别是 &，进行URL编码。URL编码将特殊字符转换为 %xx 的形式，其中 xx 是该字符的十六进制ASCII码。对于 & 字符，其URL编码是 %26。

因此，如果 clss_type 的值是 "Boys & Girls"，那么在构建URL时，它应该被编码为 "Boys%20%26%20Girls"。

正确的URL构造示例如下： page.php?clss_type=Boys%20%26%20Girls

当PHP接收到这个URL时，它会正确地解析 clss_type 参数，因为 & 已经被编码，不再被误认为是参数分隔符。

示例代码：

假设你从前端页面或通过其他方式生成这个URL：

bloop

快速查找代码，基于GPT-4的语义代码搜索

下载

注意事项：

• 客户端编码： 确保是在生成URL的一方（例如，JavaScript、HTML表单提交、其他编程语言）对参数值进行URL编码。PHP的 $_GET 变量会自动对这些编码后的值进行解码。
• urlencode() vs rawurlencode()：
  • urlencode()：将空格编码为 +，其他特殊字符编码为 %xx。适用于HTML表单的 application/x-www-form-urlencoded 编码类型。
  • rawurlencode()：将空格编码为 %20，其他特殊字符编码为 %xx。适用于URL路径或查询字符串中的单个组件。在构建URL参数值时，通常推荐使用 rawurlencode() 以获得更一致的编码。

解决方案二：修改PHP配置arg_separator.input

作为一种备选方案，你也可以修改PHP的运行时配置 arg_separator.input，来改变PHP识别参数分隔符的默认行为。这个配置项定义了PHP在解析URL查询字符串时，除了 & 之外，还可以将哪些字符视为参数分隔符。

例如，你可以将 arg_separator.input 设置为 ;，这样PHP就会将 ; 而非 & 视为参数分隔符（或者两者都视为分隔符，如果设置为 &;）。

修改 php.ini 文件：

找到你的 php.ini 文件，并修改或添加以下行：

; 默认值是 "&"
; 如果设置为 "&;"，则PHP会把 & 和 ; 都视为分隔符
arg_separator.input = "&;" 

或者，如果你想完全禁用 & 作为分隔符，只使用 ; (不推荐，因为 & 是URL标准)：

arg_separator.input = ";"

注意事项：

• 全局影响： 修改 php.ini 是一个服务器全局性的配置更改，会影响服务器上所有PHP应用程序。如果你的服务器运行着多个应用，且它们依赖于 & 作为唯一的参数分隔符，此更改可能会导致意外行为。
• 重启服务： 修改 php.ini 后，你需要重启你的Web服务器（如Apache, Nginx）或PHP-FPM服务，使更改生效。
• URL标准： & 是URL查询字符串的标准分隔符。更改此默认行为可能会导致与其他系统或URL解析器的兼容性问题。因此，这种方法通常不作为首选，除非你有非常特殊的、受控的环境需求。

总结与最佳实践

在处理URL中包含特殊字符（尤其是 &）的GET变量时，最健壮和推荐的方法是始终在生成URL时对参数值进行URL编码。这确保了URL的合规性，并保证PHP能够正确解析参数，避免数据丢失。urlencode() 或 rawurlencode() 函数是实现这一目标的关键工具。

修改 php.ini 中的 arg_separator.input 是一种更激进的、服务器范围的解决方案，应谨慎使用，并充分理解其潜在的副作用。对于大多数应用场景，URL编码提供了足够的灵活性和安全性，是处理这类问题的标准实践。