l'invio di un modulo GET con i parametri della stringa di query e i parametri nascosti scompare

Considera questo modulo:

<form action="http://www.blabla.com?a=1&b=2" method="GET">
    <input type="hidden" name="c" value="3" /> 
</form>

Quando si invia questo modulo (un modulo GET) i parametri aeb scompaiono. C'è una ragione per questo? C'è un modo per evitare questo comportamento?

Non sono questi i parametri nascosti per iniziare con ...?

<form action="http://www.example.com" method="GET">
  <input type="hidden" name="a" value="1" /> 
  <input type="hidden" name="b" value="2" /> 
  <input type="hidden" name="c" value="3" /> 
  <input type="submit" /> 
</form>

Non contare su alcun browser che conservi una stringa di query esistente nell'URL dell'azione.

Come indicato nelle specifiche ( RFC1866 , pagina 46; HTML 4.x sezione 17.13.3):

Se il metodo è "get" e l'azione è un URI HTTP, l'agente utente prende il valore dell'azione, aggiunge un `? ' ad esso, quindi aggiunge il set di dati del modulo, codificato utilizzando il tipo di contenuto "application / x-www-form-urlencoded".

Forse si potrebbe codificare in percentuale l'URL di azione per incorporare il punto interrogativo e i parametri, quindi incrociare le dita per sperare che tutti i browser lascino quell'URL così com'è (e confermare che anche il server lo capisce). Ma non farei mai affidamento su questo.

A proposito: non è diverso per i campi modulo non nascosti. Per POST l'URL dell'azione potrebbe contenere una stringa di query.

In HTML5, si tratta di un comportamento per specifica.

Vedi http://www.w3.org/TR/2011/WD-html5-20110525/association-of-controls-and-forms.html#form-submission-algorithm

Guarda "4.10.22.3 Algoritmo di invio del modulo", passaggio 17. Nel caso di un modulo GET a un URI http / s con una stringa di query:

Consenti alla destinazione di essere un nuovo URL uguale all'azione, tranne per il fatto che il suo <query>componente è sostituito dalla query (aggiungendo un carattere U + 003F QUESTION MARK (?) Se appropriato).

Quindi, il tuo browser eliminerà la parte "? ..." esistente dell'URI e la sostituirà con una nuova in base al modulo.

In HTML 4.01, la specifica produce URI non validi - la maggior parte dei browser non lo ha effettivamente fatto.

Vedi http://www.w3.org/TR/html401/interact/forms.html#h-17.13.3 , passaggio quattro: l'URI avrà un? aggiunto, anche se ne contiene già uno.

Quello che puoi fare è usare un semplice foreach sulla tabella contenente le informazioni GET. Ad esempio in php:

foreach ($_GET as $key => $value) {
    echo("<input type='hidden' name='$key' value='$value'/>");
}

È necessario includere i due elementi (aeb) come elementi di input nascosti e C.

Ho avuto un problema molto simile in cui per l'azione del modulo, ho avuto qualcosa di simile:

<form action="http://www.example.com/?q=content/something" method="GET">
   <input type="submit" value="Go away..." />&nbsp;
</form>

Il pulsante porta l'utente al sito, ma le informazioni sulla query scompaiono, quindi l'utente accede alla pagina iniziale anziché alla pagina di contenuto desiderata. La soluzione nel mio caso era scoprire come codificare l'URL senza la query che avrebbe portato l'utente alla pagina desiderata. In questo caso il mio obiettivo era un sito Drupal, quindi alla fine /content/somethingha funzionato. Avrei anche potuto usare un numero di nodo (es /node/123.).

Se hai bisogno di soluzioni alternative, poiché questo modulo può essere inserito in sistemi di terze parti, puoi utilizzare Apache mod_rewrite in questo modo:

RewriteRule ^dummy.link$ index.php?a=1&b=2 [QSA,L]

quindi il tuo nuovo modulo sarà simile al seguente:

<form ... action="http:/www.blabla.com/dummy.link" method="GET">
<input type="hidden" name="c" value="3" /> 
</form>

e Apache aggiungerà il terzo parametro da interrogare

La tua costruzione è illegale. Non è possibile includere parametri nel valore di azione di un modulo. Cosa succede se provi questo dipenderà dalle stranezze del browser. Non sarei sorpreso se funzionasse con un browser e non con un altro. Anche se sembra funzionare, non mi affiderei a questo, perché la prossima versione del browser potrebbe cambiare il comportamento.

"Ma diciamo che ho parametri nella stringa di query e in input nascosti, cosa posso fare?" Quello che puoi fare è correggere l'errore. Non essere sgarbato, ma è un po 'come chiedere "Ma supponiamo che il mio URL utilizzi i segni di percentuale anziché le barre, cosa posso fare?" L'unica risposta possibile è che puoi correggere l'URL.

Questo è in risposta al post sopra di Efx:

Se l'URL contiene già la var che si desidera modificare, viene nuovamente aggiunto come campo nascosto.

Ecco una modifica di quel codice per impedire la duplicazione di variabili nell'URL:

foreach ($_GET as $key => $value) {
    if ($key != "my_key") {
        echo("<input type='hidden' name='$key' value='$value'/>");
    }
}

<form ... action="http:/www.blabla.com?a=1&b=2" method ="POST">
<input type="hidden" name="c" value="3" /> 
</form>

cambia il metodo di richiesta in 'POST' invece di 'GET'.

Di solito scrivo qualcosa del genere:

foreach($_GET as $key=>$content){
        echo "<input type='hidden' name='$key' value='$content'/>";
}

Funziona, ma non dimenticare di disinfettare i tuoi input contro gli attacchi XSS!