代码审计

post需要application/x-www-form-urlencoded

追梦追梦 代码审计 2017-07-27
2917 0

代码审计的时候,遇到个坑,由电脑上burp抓包,查看源码得知需要POST数据过去,可是无论如何都服务端post都接不到任何数据,反而file_get_contents(‘php://input’)收到了

在花费了半小时之后的谷歌才发现,尼玛post需要application/x-www-form-urlencoded

下面是摘抄的记录:

一、概述

在学习ajax的时候,如果用post请求,需要设置如下代码

PHP
1
ajax<span class="hljs-preprocessor">.setRequestHeader</span>(<span class="hljs-string">"content-type"</span>,<span class="hljs-string">"application/x-www-form-urlencoded"</span>)<span class="hljs-comment">;</span>

虽然知道需要这么做,但是不知道application/x-www-form-urlencoded表示什么意思。于是百度学习了下。

二、Form表单语法

在Form元素的语法中,EncType表明提交数据的格式 用 Enctype 属性指定将数据回发到服务器时浏览器使用的编码类型。 例如: application/x-www-form-urlencoded: 窗体数据被编码为名称/值对。这是标准的编码格式。 multipart/form-data: 窗体数据被编码为一条消息,页上的每个控件对应消息中的一个部分,这个一般文件上传时用。 text/plain: 窗体数据以纯文本形式进行编码,其中不含任何控件或格式字符。
补充

三、常用的编码方式

form的enctype属性为编码方式,常用有两种:application/x-www-form-urlencoded和multipart/form-data,默认为application/x-www-form-urlencoded。

1.x-www-form-urlencoded

当action为get时候,浏览器用x-www-form-urlencoded的编码方式把form数据转换成一个字串(name1=value1&name2=value2…),然后把这个字串append到url后面,用?分割,加载这个新的url。

2.multipart/form-data

当action为post时候,浏览器把form数据封装到http body中,然后发送到server。 如果没有type=file的控件,用默认的application/x-www-form-urlencoded就可以了。 但是如果有type=file的话,就要用到multipart/form-data了。浏览器会把整个表单以控件为单位分割,并为每个部分加上Content-Disposition(form-data或者file),Content-Type(默认为text/plain),name(控件name)等信息,并加上分割符(boundary)。

 

一、PHP获取POST数据的几种方法

方法1、最常见的方法是:$_POST[‘fieldname’];

说明:只能接收Content-Type: application/x-www-form-urlencoded提交的数据
解释:也就是表单POST过来的数据

方法2、file_get_contents(“php://input”);

说明:
允许读取 POST 的原始数据。
和 $HTTP_RAW_POST_DATA 比起来,它给内存带来的压力较小,并且不需要任何特殊的 php.ini 设置。
php://input 不能用于 enctype=”multipart/form-data”。
解释:
对于未指定 Content-Type 的POST数据,则可以使用file_get_contents(“php://input”);来获取原始数据。
事实上,用PHP接收POST的任何数据都可以使用本方法。而不用考虑Content-Type,包括二进制文件流也可以。
所以用方法二是最保险的方法

方法3、$GLOBALS[‘HTTP_RAW_POST_DATA’];

说明:
总是产生 $HTTP_RAW_POST_DATA  变量包含有原始的 POST 数据。
此变量仅在碰到未识别 MIME 类型的数据时产生。
$HTTP_RAW_POST_DATA  对于 enctype=”multipart/form-data”  表单数据不可用
如果post过来的数据不是PHP能够识别的,可以用 $GLOBALS[‘HTTP_RAW_POST_DATA’]来接收,
比如 text/xml 或者 soap 等等
解释:
$GLOBALS[‘HTTP_RAW_POST_DATA’]存放的是POST过来的原始数据。
$_POST或$_REQUEST存放的是 PHP以key=>value的形式格式化以后的数据。
$GLOBALS[‘HTTP_RAW_POST_DATA’]中是否保存POST过来的数据取决于centent-Type的设置,即POST数据时 必须显式示指明Content-Type: application/x-www-form-urlencoded,POST的数据才会存放到 $GLOBALS[‘HTTP_RAW_POST_DATA’]

二、演示

1、PHP 如何获取POST过来的XML数据和解析XML数据

比如我们在开发微信企业号时,如何处理用户回复过来的数据呢?
文档:http://qydev.weixin.qq.com/wiki/index.php?title=%E6%8E%A5%E6%94%B6%E6%99%AE%E9%80%9A%E6%B6%88%E6%81%AF
首先查阅文档,可知道:启用开发模式后,当用户给应用回复信息时,微信服务端会POST一串XML数据到已验证的回调URL

假设该URL为 http://www.xxx.com
Http请求方式: POST
http://www.xxx.com/?msg_signature=ASDFQWEXZCVAQFASDFASDFSS×tamp=13500001234&nonce=123412323

POST的XML内容为:

代码如下:

PHP
1
2
3
4
5
6
7
8
9
<xml>
<ToUserName><![CDATA[toUser]]></ToUserName>
<FromUserName><![CDATA[fromUser]]></FromUserName>
<CreateTime>1348831860</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[this is a test]]></Content>
<MsgId>1234567890123456</MsgId>
<AgentID>1</AgentID>
</xml>

那么怎么接收这段内容呃?
这时就可以用到:方法2(file_get_contents(“php://input”))、方法3($GLOBALS[‘HTTP_RAW_POST_DATA’])

方法2(file_get_contents(“php://input”)):

复制代码代码如下:

PHP
1
2
3
$input = file_get_contents(php://input”); //接收POST数据
$xml = simplexml_load_string($input); //提取POST数据为simplexml对象
var_dump($xml);

方法3($GLOBALS[‘HTTP_RAW_POST_DATA’]):

复制代码代码如下:

PHP
1
2
3
4
$input = $GLOBALS[HTTP_RAW_POST_DATA];
libxml_disable_entity_loader(true);
$xml = simplexml_load_string($input, SimpleXMLElement, LIBXML_NOCDATA);
var_dump($xml);

 

原文链接:http://www.lz1y.cn/wordpress/?p=686

(0)

本文由 安全周 作者:追梦 发表,转载请注明来源!

关键词:
追梦

追梦

 文章:98

相关文章

热评文章

发表评论

用户登录