首页 > php > php中cookie的值包含加号(+)获取变成空格的问题分析
2021
11-12

php中cookie的值包含加号(+)获取变成空格的问题分析

背景


最近发现有部分用户反馈,获取不到登录信息,于是进行分析


分析


我们的登录信息是加密存储到cookie中的,查看了下这个用户的 cookie加密信息中包含  加号“+” ,但是 php $_COOKIE 获取的时候,变成了空格,于是解密失败


分析请求头中的信息发现,请求传过来的值是有 “+” 的,但是 :


图片.png


比如cookie中存储的  “cWEolyrQ0l63FG+YWHA”  ,$_COOKIE 获取出来显示的  “cWEolyrQ0l63FG YWHA”  ,多了一个空格


于是查找资料


找到如下介绍:


注释:在发送 cookie 时,setcookie 的值会自动进行 URL 编码。接收时会进行 URL 解码。如果你不需要这样,可以使用 setrawcookie() 代替。


注释:setrawcookie() 与 setcookie() 几乎完全相同,不同的是不会在发往客户机时,对 cookie 值进行自动 URL 编码。使用setrawcookie,不能使用这些字符内的值:(; \ t \ r \ n \ 013 \ 014)


看这个介绍,自己觉得取出来以后urldecode 一下就行了

urldecode($_COOKIE['user_id'])


实际是不行的,于是尝试  urlencode ,发现竟然成功了,但是如果cookie中有其他特殊字符 比如 "/" ,又不行了

urlencode($_COOKIE['user_id'])


所以这种方案,不能解决问题


解决方案


我们上面分析请求头中的cookie是完整的,所以我们可以尝试从请求头中获取cookie

<?php

// getallheaders 是 apache支持的函数,nginx下需要自己定义
if (!function_exists('getallheaders')) {
    function getallheaders()
    {
        foreach ($_SERVER as $name => $value) {
            if (substr($name, 0, 5) == 'HTTP_') {
                $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5)))))] = $value;
            }
        }
        return $headers;
    }
}

$cookieStr = getallheaders()['Cookie'];
$cookies = explode(';',$cookieStr);
foreach($cookies as $cookie)
{
    $cookieTmp = explode('=',$cookie);
    $_COOKIE[trim($cookieTmp[0])] = trim($cookieTmp[1]);
}


其他解决办法

  1. 对cookie的值进行base64_encode(),拿来使用的时候再base64_decode()


参考


https://www.w3school.com.cn/php/func_http_setrawcookie.asp

https://www.w3school.com.cn/php/func_http_setcookie.asp



本文》有 0 条评论

留下一个回复