带有查询字符串的 Laravel 安全 URL

在 Laravel 中，我们经常需要构建带有查询字符串的 URL，例如搜索页面带有关键字参数。但是，在构建带有敏感数据的 URL 时需要考虑安全性问题，避免恶意用户利用 URL 进行攻击和重放攻击。本文将介绍如何在 Laravel 中构建带有查询字符串的安全 URL。

问题

在构建带有查询字符串的 URL 时，我们通常使用 url() 或 route() 方法。例如：

$url = url('/search?keyword=laravel');

但是，直接构建 URL 存在以下问题：

1. 如果参数中包含敏感数据，例如用户的 ID，攻击者可以修改 ID 提交恶意请求。
2. 如果参数中包含特殊字符，例如 & 或 /，可能会导致 URL 格式错误，从而导致请求失败。

因此，我们需要对 URL 进行编码和过滤，以确保其安全性和正确性。

解决方案

编码查询字符串参数

为了避免 URL 中的特殊字符导致的错误，我们需要对查询字符串中的参数进行编码。可以使用 PHP 的 urlencode() 函数对参数进行编码。例如：

$url = url('/search?keyword=' . urlencode('laravel & php'));

此时，& 符号将被编码为 %26，确保 URL 格式正确。

过滤查询字符串参数

为了避免恶意用户修改查询字符串中的敏感数据，我们需要对参数进行过滤。可以使用 Laravel 的 tap() 函数和 request() 实例对查询字符串中的参数进行过滤。例如：

$searchQuery = tap(request()->only(['keyword', 'category']), function($params) {
    if (isset($params['keyword'])) {
        $params['keyword'] = preg_replace('/[^A-Za-z0-9\-]/', '', $params['keyword']);
    }
    if (isset($params['category'])) {
        $params['category'] = preg_replace('/[^A-Za-z0-9\-]/', '', $params['category']);
    }
});
$url = url('/search?' . http_build_query($searchQuery));

此时，只有在白名单上的参数才会被保留，而其他参数将被过滤掉。此外，还可以使用正则表达式对参数进行进一步的过滤和限制。

使用路由别名

如果应用程序中已经定义了路由，则最好使用路由别名而不是硬编码 URL。这样可以避免 URL 发生变化时需要修改所有使用该 URL 的地方，并且可以更好地保护 URL，因为用户无法猜到路由别名。

$url = route('search', ['keyword' => 'laravel']);

在定义路由时，需要设置路由别名，例如：

Route::get('/search', 'SearchController@index')->name('search');

总结

在构建带有查询字符串的 URL 时，需要注意安全性和正确性问题。可以使用编码和过滤方法对 URL 进行保护。另外，最好使用路由别名而不是硬编码 URL，以提高安全性和可维护性。