Javascript 允许CodeIgniter中URL中的任何字符_Javascript_Php_Codeigniter_Security_Url

Javascript 允许CodeIgniter中URL中的任何字符

javascript php codeigniter security url

Javascript 允许CodeIgniter中URL中的任何字符,javascript,php,codeigniter,security,url,Javascript,Php,Codeigniter,Security,Url,我正在使用CodeIgniter PHP框架。我使用JS动态加载PHP页面： $('someIFrame').writeAttribute( 'src', '/index.php/controller/method/' + escape(userGeneratedString) ); 当我运行此命令时，CodeIgniter给了我以下错误： http://192.168.0.81/index.php/controller/method/dude%27s%20face An E

我正在使用CodeIgniter PHP框架。我使用JS动态加载PHP页面：

$('someIFrame').writeAttribute(
   'src',
   '/index.php/controller/method/' +
   escape(userGeneratedString)
);

当我运行此命令时，CodeIgniter给了我以下错误：

http://192.168.0.81/index.php/controller/method/dude%27s%20face
An Error Was Encountered
The URI you submitted has disallowed characters.

这是完全不真实的，因为所讨论的URL不包含任何不允许的字符。我的配置文件允许该URL中存在的所有字符：

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';

所以我很沮丧，只允许所有字符来防止错误

// Leave blank to allow all characters -- but only if you are insane.
// DO NOT CHANGE THIS UNLESS YOU FULLY UNDERSTAND THE REPERCUSSIONS!!
//$config['permitted_uri_chars'] = 'a-z 0-9~%.:_()@\-';
$config['permitted_uri_chars'] = '';

这条线上方的警告信息听起来很可怕。允许所有字符可能会出现什么问题？我会被黑客攻击吗

codeigniter中的URL是，因此

%27

转换为

，该URL不在允许的字符列表中，因此触发了错误。因此，您需要允许字符一旦解码。换句话说，当codeigniter看到您时，

%27

，它已经被解码成一个

“

@thisMayham，因为它意味着你不在乎给出反馈。不一样，是吗？；）@JoJo你可以通过点击答案旁边的绿色复选框来接受答案——这意味着这个特定的答案帮助你解决了问题。这对回答者和询问者的努力给予了一点奖励，并将问题标记为已解决。另请参见：