これはどのように修正する必要がありますか？ $ _GET内のシンボル

Question

私の電子メール確認スクリプトでは、私の既存の一方向暗号化機能を使用してユーザーの電子メールアドレスを実行し、その中間から20文字を取得してトークンを生成します。私はトークンを$ _GET変数または$ _POST変数としてユーザーから取得します。私は "バグ"に遭遇しました。電子メールアドレスにプラス記号（+）が入力され、そのトークンが$ _GET変数としてユーザから取り戻されると、プラス記号はスペースに変換され、ハッシュが変化し、そのためトークンはもはや一致しない。

これを回避するにはどうすればよいでしょうか？プラス記号を脱出する？プラス記号を変換しますか？ URLエンコードする？ $ _GETを使用すると、他の文字はどうなりますか？それは便利だ場合にはここで

は、適切なコードです：

<?php 
if (isset ($_GET['email'], $_GET['token'])) { 
    $email = strtolower (mysql_real_escape_string($_GET['email'])); 
    $token = mysql_real_escape_string($_GET['token']); 
    $correctToken = substr (doEncrypt ($email), -26, -6); 
}elseif (isset ($_POST['submit'])) { 
    $email = strtolower (mysql_real_escape_string($_POST['email'])); 
    $token = mysql_real_escape_string($_POST['token']); 
    $correctToken = substr (doEncrypt ($email), -26, -6); 
} 

if (isset ($email, $token, $correctToken)){  
    if ($token == $correctToken) { 
     // Confirm user's email! 
    } 
} 
?> 

はどうもありがとうございました！ Billy

編集：OK、これは最大の問題です。プラス記号は$ _GETで検索したときにスペースに変換される唯一の文字ですか？そうであれば、$ _GETセクション内にこれを追加することができるようです：$email = str_replace(' ', '+', $email);スペースはメールアドレス内にある他の理由はありませんか？それは私だったら、再び、 ビリー

Answer 1

おかげで、私はハッシュ前のスペースにプラス記号を変換するstr_replace()を行うだろう。 str_replace()をハッシュ関数に入れます。その方法では、ユーザーの電子メールアドレスは関数のスコープ内でのみ変更され、残りのスクリプトでは変更されません。

function hash_email($email) 
{ 
    $email = str_replace('+', ' ', $email); 

    ...hashing stuff happens here... 

    return $token; 
} 

$token = hash_email($_GET['email']);