谈一谈PHP中关于非法参数名传参问题 作者: ynnddddd 时间: 2025-02-21 分类: 学业,网络安全 [谈一谈PHP中关于非法参数名传参问题](https://blog.csdn.net/mochu7777777/article/details/115050295 "谈一谈PHP中关于非法参数名传参问题") <!--more--> 在PHP中,`GET`、`POST`等请求方法传递参数时,参数名中包含非法字符(如点". "和空格 " ")会被自动转换为下划线`_`,导致传参失败。 例如,传入参数`mo chu.`时,PHP会将其转换为`mo_chu_`,使得原始参数无法正确传递。 然而,在PHP版本小于8时,如果参数名中包含中括号`[`,PHP会将其转换为下划线`_`,但转换过程中可能出现错误,导致后续的非法字符无法继续转换。 例如,传入参数`mo[chu.7`时,PHP会将其转换为`mo_chu.7`,从而绕过非法字符的限制。 需要注意的是,这种转换错误在PHP8中已被修复,传入的参数名中非法字符会被统一转换为下划线`_`,因此在PHP8及以上版本中无法利用此漏洞。 总之,了解PHP对非法参数名的处理方式,对于CTF比赛中的漏洞利用具有重要意义。 标签: none
?学术类评语?