PHP 对输入变量名的自动转换的问题与源码分析
起步
表单提交到PHP脚本时,底层的PHP会做一层转换。将一些符号转成下划线 _ 。
实际上这层转换中会发生很多意想不到的情况。
列举这些情况
一个简单的测试就出现了意外,一个是单个 [ 也会被替换,对于 array 的输入, key 不会做转换。于是我多多测了一下,得出如下列表:
<input name="a.b" /> 转为: $_REQUEST["a_b"]
<input name="a b" /> 转为: $_REQUEST["a_b"]
<input name="a[b" /> 转为: $_REQUEST["a_b"]
<input name="a]b" /> 转为: $_REQUEST["a]b"]
<input name="a-b" /> 转为: $_REQUEST["a-b"]
<input name=" ab" /> 转为: $_REQUEST["ab"]
<input name="ab " /> 转为: $_REQUEST["ab "]
<input name="arr[a.b]" /> 转为: $_REQUEST["arr"]["a.b"]
<input name="ar.r[a.b]" /> 转为: $_REQUEST["ar_r"]["a.b"]
<input name="arr[a[b]]" /> 转为: $_REQUEST["arr"]["a[b"]
<input name="arr[a[]x]" /> 转为: $_REQUEST["arr"]["a["]
<input name="arr[]ab" /> 转为: $_REQUEST["arr"][0]
<input name="arr[a]b" /> 转为: $_REQUEST["arr"]["a"]
<input name="arr[a.b" /> 转为: $_REQUEST["arr_a.b"]
<input name="arr[[a.b" /> 转为: $_REQUEST["arr_[a.b"]这个转换机制十分诡异是吧。查了一下,在 Bug#77172 convert error on receiving variables from external sources 中提出了 id[]_text 转换成 id[] 的问题,采取的结果是补全文档上的说明。
另外也有几个讨论是否关闭这层转换:
- Request #34882 Unable to access original posted variable name with dot in ;
- Request #37040 autoconversion of variable names should be turned off 建议取消这个转换的讨论;
- Request #65252 Input string parsing - allow ' ' and '.' chars as hash key 讨论转换的hash冲突问题;
这三个 Request 都还是 open 状态,还没有结果,其中关于关闭转换的讨论早在06年就提出来了。我不清楚 PHP 为什么会做这个转换,目的是什么。据我所知的 java,Django 都不会做转换的。
PHP对于外部输入的变量都会转换的,这就涉及到了 $_POST, $_GET, $_FILES, $_COOKIE, $_REQUEST 这些变量了。
源码分析
虽然我没有阅读过php源码,在朋友的帮助下,关于这部分的转换代码在 main/php_variables.c 的 php_register_variable_ex 函数中 php_variables.c#L68 ,源码精简了下流程:
PHPAPI void php_register_variable_ex(char *var_name, zval *val, zval *track_vars_array)
{
char *p = NULL;
char *ip = NULL; /* index pointer */
char *index;
char *var, *var_orig;
/* ignore leading spaces in the variable name */
while (*var_name==' ') { // 忽略前置空格
var_name++;
}
for (p = var; *p; p++) {
if (*p == ' ' || *p == '.') { // 空格和点替换成下划线
*p='_';
} else if (*p == '[') {
is_array = 1; // 如果遇到 [ 则视为数组,is_array 设为1
ip = p;
*p = 0;
break;
}
}
...
}这里可以看出,忽略前置空格是最先做的动作;当遇到第一个 [ 时,php则认为数数组,不再进行转换,设置了 is_array = 1 就 break 了。
这个 is_array 有什么用呢,往下看:
if (is_array) {
int nest_level = 0;
while (1) {
char *index_s;
size_t new_idx_len = 0;
ip++; // [ 的下一个字符
index_s = ip;
if (*ip==']') { // 如果下一个字符就已经是],表示没有设置key
index_s = NULL;
} else {
ip = strchr(ip, ']'); // 查找剩余字符串中的 ]
if (!ip) {
/* PHP variables cannot contain '[' in their names, so we replace the character with a '_' */
*(index_s - 1) = '_'; // 如果没找到,则将 [ 替换成下划线
index_len = 0;
if (index) {
index_len = strlen(index);
}
goto plain_var;
return;
}
*ip = 0;
new_idx_len = strlen(index_s); // key 的长度到第一个出现 ] 为止
}
}
...
}到此,转化处理的过程就很清晰了,对于数组情况的变量名,分为两种:
- 没找到
]与其匹配,该变量名不是数组,将[替换成下划线,后续字符串不做处理; - 有
]与其匹配,取到第一个出现]的位置作为 key ,舍弃后面的字符。
对于情况1 就很奇怪了,如果输入是 arr[[a.b 那么就会转成成 arr_[a.b 了。
总结
鉴于当前的转换规则总结的规律如下:
- 在第一个
[之前的字符中,忽略前置的空格,将.和空格替换成下划线_; - 在第一个
[之后的字符,不再进行替换处理:- 若后续字符中 没有
]时,第一个[替换成_,后续字符串不做转换; - 若后续字符中 有
]时,取到第一次出现]的位置作为 key,舍弃后续字符。
- 若后续字符中 没有
另外,谁能告诉我PHP的这层转换的设计初衷是什么啊。
腾讯云开发者
