Ist array-syntax mit eckigen Klammern in der URL-query-strings gültig?

Ist es eigentlich sicher/gültig Verwendung mehrdimensionales array synthax in der URL-query-string?

http://example.com?abc[]=123&abc[]=456

Es scheint zu funktionieren in jedem browser und ich dachte immer, es war OK, aber accodring, um einen Kommentar in diesem Artikel ist es nicht: http://www.456bereastreet.com/archive/201008/what_characters_are_allowed_unencoded_in_query_strings/#comment4

Ich würde gerne hören, eine zweite Meinung einzuholen.

  • Was ist "multidimensional" in diesem? Oder beziehen Sie sich auf die get-vars wird dargestellt als ein array in einem server-side-scripting-Sprache ?
  • yep, ich meine eine Abfrage-Zeichenfolge, wie dieses ?a[b][c][d][e]=f -, server-side script dann behandelt es wie ein mehrdimensionales array
InformationsquelleAutor Timo Huovinen | 2012-07-15
  1. 26

    Die Antwort ist nicht einfach.

    Folgende ist ein Auszug aus Abschnitt 3.2.2 von RFC 3986 :

    Einen host identifiziert, die durch eine Internet-Protokoll-literal-Adresse, version 6

    [Im rfc3513] oder später, zeichnet sich durch die Einhausung der IP-literal

    innerhalb von eckigen Klammern ("[" und "]"). Dies ist der einzige Ort, wo

    eckige Klammer Zeichen dürfen in der URI-syntax.

    Diese scheint um die Frage zu beantworten, indem Sie Rundweg die besagt, dass eckige Klammern sind nicht erlaubt, nirgendwo sonst in der URI. Aber es gibt einen Unterschied zwischen einer eckigen Klammer und ein-Prozent-codiert eckige Klammer Zeichen.

    Folgende ist ein Auszug aus dem Anfang von Abschnitt 3 von RFC 3986 :

    1. Syntax-Bestandteile

      Der generischen URI-syntax besteht aus einer hierarchischen Abfolge von

      genannten Komponenten, wie das Schema, Autorität, Pfad, query, and

      fragment.

      URI = scheme ":" hier-part [ "?" query ] [ "#" fragment ]

    Also die "Abfrage" ist Bestandteil der "URI".

    Folgende ist ein Auszug aus Abschnitt 2.2 von RFC 3986 :

    2.2. Reservierte Zeichen

    URIs gehören Komponenten und Unterkomponenten, die getrennt sind durch

    Zeichen in der "reserviert" gesetzt. Diese Zeichen sind sogenannte

    "reserviert" werden, weil Sie vielleicht (oder auch nicht) werden definiert als Trennzeichen durch

    die generische syntax, die von jedem Schema-spezifischen syntax, oder durch die

    Umsetzung-konkrete syntax einer URI ist die Dereferenzierung Algorithmus.

    Wenn Daten für eine URI-Komponente in Konflikt mit einem reservierten

    Charakters Zweck als Trennzeichen, dann die widersprüchlichen Daten müssen

    sein Prozent-verschlüsselt, bevor Sie den URI gebildet wird.

      reserved    = gen-delims /sub-delims

  gen-delims  = ":" /"/" /"?" /"#" /"[" /"]" /"@"

  sub-delims  = "!" /"$" /"&" /"'" /"(" /")"
              /"*" /"+" /"," /";" /"="

    So eckigen Klammern erscheint eine Abfrage-string, aber nur, wenn Sie ein Prozent codiert. Es sei denn, Sie nicht, zu erklären, die weiter unten in Abschnitt 2.2 :

    URI-Herstellung-Anwendungen sollten die Prozent-Kodierung von Daten-Bytes,

    entsprechen die Zeichen in der reservierten Satz, es sei denn, diese Zeichen

    sind ausdrücklich erlaubt ist, durch das URI-Schema zum darstellen der Daten in das

    Komponente. Wenn Sie ein reserviertes Zeichen in einem URI-Komponente und

    keine Abgrenzung von Rolle bekannt ist, dass der Charakter, dann muss es

    interpretiert als Darstellung des Daten-Oktett entsprechende

    Zeichen die Codierung in US-ASCII.

    So, weil die eckigen Klammern dürfen nur in der "host" - Unterkomponente, die Sie "sollte" sein Prozent-verschlüsselt im anderen Komponenten und Unterkomponenten, und in diesem Fall in der "query" - Komponente, es sei denn, RFC 3986 ausdrücklich erlaubt, nicht-codierte eckige Klammern zur Darstellung von Daten in der query-Komponente, die ist nicht.

    Jedoch, wenn ein "URI-Herstellung-Anwendung" fehl, zu tun, was Sie tun "sollten", indem Sie die eckigen Klammern nicht in der Abfrage, dann werden die Leser von URI sind nicht abzulehnen, URI schlechthin. Stattdessen werden die eckigen Klammern sind als die Zugehörigkeit zu den Daten der query-Komponente, da Sie nicht als Trennzeichen verwendet in dieser Komponente.

    Dies ist, warum, zum Beispiel, ist es nicht ein Verstoß gegen RFC-3986, wenn PHP akzeptiert beide nicht-und Prozent-kodiert eckigen Klammern als gültige Zeichen in einem query-string, und auch weist Ihnen einen speziellen Zweck. Jedoch scheint es, dass Autoren, die versuchen, nutzen Sie diese Lücke, indem nicht die Prozent-Kodierung eckigen Klammern sind in Verletzung von RFC 3986.

    • "Eckige Klammern" kann in den query-string, wenn Sie Prozent-kodiert, es sei denn, Sie sind nicht" xD. sehr nette Antwort.
    • Dies ist eine fantastische Antwort, aber es funktioniert nicht Konto für die WHATWG Url spec. Siehe meine Antwort unten.
    • Wäre es ok wenn ich (oder Ethan) - add @Ethan ' s Antwort auf Eure auf der Unterseite? Auf diese Weise haben wir eine große richtige Antwort, dass jeder sehen kann, anstatt es in zwei Teile gespalten
    InformationsquelleAutor David N. Jafferian
  2. 11

    Gemäß RFC 3986, die Query-Komponente der eine URL hat die folgende Grammatik:

    *( pchar /"/" /"?" )

    Vom Anhang A der gleichen RFC:

    pchar         = unreserved /pct-encoded /sub-delims /":" /"@"
[...]
pct-encoded   = "%" HEXDIG HEXDIG

unreserved    = ALPHA /DIGIT /"-" /"." /"_" /"~"
[...]    
sub-delims    = "!" /"$" /"&" /"'" /"(" /")"
             /"*" /"+" /"," /";" /"="

    Meine interpretation davon ist, dass alles, was nicht ist:

     ALPHA /DIGIT /"-" /"." /"_" /"~" /
     "!" /"$" /"&" /"'" /"(" /")" /
     "*" /"+" /"," /";" /"=" /":" /"@"

    ...sollte eine pct-encoded, ich.e Prozent-codiert. So [ und ] sollte sein Prozent-verschlüsselt Folgen RFC 3986.

    • Da hast du sicherlich Recht, aber helfen Sie mir Folgendes mit, die interpretation. Der Extrakt Gaben Sie unvollständig ist, ist 'reserviert' ist nie wieder hier erwähnt. So die definition keinen Sinn macht, wie dieses. Wie ich es gelesen habe die eckigen Klammern sind definiert als reservierte Zeichen mit einer speziellen Bedeutung (nicht sicher welche), daher sollte es nicht entgangen sein, wenn Sie Ausdrücken wollen, dass Bedeutung. Wenn Sie zu entkommen em Sie übertragen Sie einfach einen string mit eckigen Klammern als Wert des Parameters. Also Frage ich mich: nun, was ist tatsächlich ist die Bedeutung der eckigen Klammern den reservierten Zeichen in urls?
    • Ich verließ die definition von reserved und gen-delims im Zitat, um es einfacher zu sehen, wie [] sind eingestuft in die Grammatik - beachten Sie, dass nur eine Teilmenge der reserved ist ein pchar.
    • Eckige Klammern sind reserviert für IP-v6-Adresse Literale. tools.ietf.org/html/rfc3986#appendix-D.1, tools.ietf.org/html/rfc2732#section-2
    • Da ein IPv6 wörtliche gilt nur für die host Teil http://[1080:0:0:0:8:800:200C:417A]/index.html, daher denke ich, dass Sie nicht brauchen, um mit Escapezeichen versehen werden, wenn Sie in einem query-string
    InformationsquelleAutor Anders Lindahl
  3. 4

    David N. Jafferian die Antwort ist fantastisch. Ich möchte nur hinzufügen, ein paar updates und praktische Hinweise:

    1. Seit vielen Jahren, jeder browser hat Links in eckigen Klammern in den query-strings nicht, wenn die übermittlung der Anfrage an den server. (Quelle: https://bugzilla.mozilla.org/show_bug.cgi?id=1152455#c6). Als solche Stelle ich mir einen großen Teil der web-gekommen, um sich auf dieses Verhalten verlassen, das macht es extrem unwahrscheinlich, dass zu ändern.

    2. Meinem Lesen der WHATWG-URL-standard, zumindest für web-Zwecke, kann gesehen werden, ersetzt RFC 3986, ist, dass es kodifiziert das Verhalten der nicht-Codierung [ und ] in query-strings. Ich glaube der relevante Teil ist: https://url.spec.whatwg.org/#query-state, die keinen Hinweis über die Prozent-Kodierung dieser Zeichen.

    • Vielleicht auch relevant ist WHATWG-URL § Prozent-codierten bytes. Es sagt eckigen Klammern müssen nur codiert werden als Teil des userinfo Prozent-Kodieren-set. Das bedeutet, dass nur in den führenden Behörde-Komponente, nicht in der path, query und fragment-Komponenten.
    InformationsquelleAutor Ethan
  4. 1

    Hatte ich immer eine Versuchung zu gehen für diese Art von Abfrage, wenn ich hatte, um ein array übergeben, aber ich steuerte Weg von ihm. Der Grund:

    • Es ist nicht geklärt, definiert in RFC.
    • Verschiedenen Sprachen interpretieren es anders.

    Haben Sie ein paar Optionen, um ein array übergeben:

    • Kodieren die string-Repräsentation des Arrays(JSON sein darf?)
    • Haben Parameter wie "val1=blah&val2=blah&.." oder so ähnlich.

    Und wenn Sie sicher sind, über die Sprache, die Sie verwenden, können Sie (sicher) gehen für die Art von query-string haben (Nur, dass Sie brauchen, um %-codieren [] auch).

    • So wird dies ein Gültiger multiarray URL? ?abc%5B%5D=123&abc%5B%5D=456. Sehr hässlich, ich sehen, warum es selten benutzt
    • Das würde davon abhängen, wie die Sprache behandelt. Seine besten, bleiben Sie Weg von es. Um ein bisschen genauer zu sagen, Sie sind nur Schlüssel-Wert-Paare. Nichts mehr, nichts weniger und es gibt kein "array" drin.
    InformationsquelleAutor UltraInstinct
  5. 1

    Mein Verständnis, dass die eckigen Klammern sind nicht die erste-Klasse-Bürger sowieso. Hier ist das Zitat:
    http://tools.ietf.org/html/rfc1738

    Andere Zeichen sind unsicher, da Sie-gateways und anderen Verkehrsmitteln
    Substanzen sind dafür bekannt, manchmal ändern diese Zeichen. Diese
    Zeichen sind "{", "}", "|", "\", "^", "~", "[", "]", und "`".

    InformationsquelleAutor Yury Schkatula
  6. 1

    Ich würde im Idealfall gerne kommentieren Ethan ' s Antwort wirklich, aber nicht über genügend reputation, um es zu tun.

    Ich bin nicht sicher, dass der entsprechende Teil der WHATWG-URL-standard wird hier referenziert. Ich denke, dass das richtige Teil sein könnte, in die definition eines gültigen URL-query-string, die Sie beschreibt, als aus URL Einheiten, die sich gebildet aus URL code Punkte und Prozent-codierten bytes. Eckigen Klammern aufgeführt sind, innerhalb der URL-code Punkte und fallen daher in den Prozent-codierten bytes-Kategorie.

    So, in Antwort auf die ursprüngliche Frage, mehrdimensionale array-syntax (also mit eckigen Klammern repräsentieren die Indizierung von Arrays) innerhalb der query-Teil der URL gültig ist, sofern die eckigen Klammern mit Prozentzeichen codierte (als %5B für [ und %5D für ]).

    InformationsquelleAutor user1815597
Schreibe einen Kommentar