logo标签列表

cURL在终端可以工作,但在PHP中却不行。

phpcurlmoodle
17

我遇到了一个相当奇怪的问题。

我正在尝试使用 PHP 中的 curl 登录到远程 moodle 安装。

我有一个 curl 命令,在终端中完美运行。

当我将相同的内容翻译成 PHP 时,它可以正常工作,但它只是无法登录。与通过终端成功登录的确切值相比,它在 PHP 中会使登录系统失败,从而无法登录。相反,它会再次返回登录页面。

我的 cURL 命令(数据部分省略了用户名和密码):

curl 'http://moodle.tsrs.org/login/index.php'
-H 'Pragma: no-cache'
-H 'Origin: http://moodle.tsrs.org'
-H 'Accept-Encoding: gzip, deflate'
-H 'Accept-Language: en-US,en;q=0.8'
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.65 Safari/537.36'
-H 'Content-Type: application/x-www-form-urlencoded'
-H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8'
-H 'Cache-Control: no-cache'
-H 'Referer: http://moodle.tsrs.org/login/index.php'
-H 'Cookie: MoodleSession=ngcidh028m37gm8gbdfe07mvs7; MOODLEID_=%25F1%25CD%2519D%25B2k%25FE%251D%25EFH%25E5t%25B1%2503%258E; MoodleSessionTest=NhzaTNij6j; _ga=GA1.2.925953522.1416155774; _gat=1; __utmt=1; __utma=147409963.925953522.1416155774.1416642544.1416692798.3; __utmb=147409963.1.10.1416692798; __utmc=147409963; __utmz=147409963.1416155774.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)'
-H 'Connection: keep-alive'

对应的PHP代码:

function login() {
    $username = $_POST['username'];
    $password = $_POST['password'];

    if(!isset($_POST['username']) || !isset($_POST['password'])) {
        echo "No login data received";
        return;
    }

    $creq = curl_init();

    $data = array('username' => $username, 'password' => $password, 'testcookies'=> '1');

    $headers = array('Pragma: no-cache', 'Origin: http://moodle.tsrs.org', 'Accept-Encoding: ', 'Accept-Language: en-US,en;q=0.8', 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.65 Safari/537.36', 'Content-Type: application/x-www-form-urlencoded', 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8', 'Cache-Control: no-cache', 'Cookie: MoodleSession=ngcidh028m37gm8gbdfe07mvs7; MOODLEID_=%25F1%25CD%2519D%25B2k%25FE%251D%25EFH%25E5t%25B1%2503%258E; MoodleSessionTest=NhzaTNij6j; _ga=GA1.2.925953522.1416155774; _gat=1; __utmt=1; __utma=147409963.925953522.1416155774.1416642544.1416692798.3; __utmb=147409963.1.10.1416692798; __utmc=147409963; __utmz=147409963.1416155774.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)', 'Connection: keep-alive' );
        curl_setopt_array($creq, array(
        CURLOPT_URL => 'http://moodle.tsrs.org/login/index.php',
        CURLOPT_RETURNTRANSFER => true,
        CURLOPT_POST => true,
        CURLOPT_ENCODING => '',
        CURLINFO_HEADER_OUT => true,
        CURLOPT_POSTFIELDS => $data,
        CURLOPT_HTTPHEADER => $headers,
        CURLOPT_FOLLOWLOCATION => false
    ));

    $output = curl_exec($creq);

    echo print_r(curl_getinfo($creq));

    echo "\n" . $output . "\n";
}

并且curlinfo的输出:

Array
(
    [url] => http://moodle.tsrs.org/login/index.php
    [content_type] => text/html; charset=utf-8
    [http_code] => 200
    [header_size] => 541
    [request_size] => 945
    [filetime] => -1
    [ssl_verify_result] => 0
    [redirect_count] => 0
    [total_time] => 1.462409
    [namelookup_time] => 0.002776
    [connect_time] => 0.330766
    [pretransfer_time] => 0.330779
    [size_upload] => 365
    [size_download] => 8758
    [speed_download] => 5988
    [speed_upload] => 249
    [download_content_length] => -1
    [upload_content_length] => 365
    [starttransfer_time] => 0.694866
    [redirect_time] => 0
    [certinfo] => Array
        (
        )

    [primary_ip] => 125.22.33.149
    [redirect_url] =>
    [request_header] => POST /login/index.php HTTP/1.1
Host: moodle.tsrs.org
Pragma: no-cache
Origin: http://moodle.tsrs.org
Accept-Language: en-US,en;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.65 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Cache-Control: no-cache
Cookie: MoodleSession=ngcidh028m37gm8gbdfe07mvs7; MOODLEID_=%25F1%25CD%2519D%25B2k%25FE%251D%25EFH%25E5t%25B1%2503%258E; MoodleSessionTest=NhzaTNij6j; _ga=GA1.2.925953522.1416155774; _gat=1; __utmt=1; __utma=147409963.925953522.1416155774.1416642544.1416692798.3; __utmb=147409963.1.10.1416692798; __utmc=147409963; __utmz=147409963.1416155774.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
Connection: keep-alive
Content-Length: 365
Expect: 100-continue
Content-Type: application/x-www-form-urlencoded; boundary=----------------------------83564ee60d56


)

有人知道这可能是什么原因吗?我已尝试使用COOKIEFILE和COOKIEJAR替换硬编码的cookie,但没有任何变化。

我以前也做过同样的事情,但找不到代码了 - 我认为这是因为登录后重定向了,所以您需要允许它重定向 - 使用类似 curl_setopt($curl, CURLOPT_MAXREDIRS, 10); 的东西。 - Russell England
问题中的标题不同。命令行cURL包括一个Referer头和一个Accept-Encoding值。PHP cURL根本不包括Referer,而是留空了Accept-Encoding。@RichardTheKiwi,只是为了澄清,您的问题是否也与moddle有关? - HPierce
重新加载后,您在浏览器中找到了任何cookie吗? - Aabir Hussain
5个回答
11

通过在命令中添加详细标志-v,可以更好地查看cURL实际执行的所有操作,从而更好地进行调试。


$ curl localhost/login [...] -v

通过添加CURLOPT_VERBOSE选项,我们可以从PHP的curl获取相同的输出。需要注意的是,通过添加此行,您正在指示cURL将相同的信息输出到STDOUT - 它不会被返回并且内容不会发送到浏览器,因此必须在终端中进行调试。

curl_setopt($curl, CURLOPT_VERBOSE, 1);

通过这种方式,您可以获得HTTP请求的一致且可比较的输出,其应该类似于以下内容:

POST / HTTP/1.1
Host: localhost:3000
Pragma: no-cache
Origin: http://moodle.tsrs.org
Accept-Language: en-US,en;q=0.8
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/39.0.2171.65 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Cache-Control: no-cache
Cookie: MoodleSession=ngcidh028m37gm8gbdfe07mvs7; MOODLEID_=%25F1%25CD%2519D%25B2k%25FE%251D%25EFH%25E5t%25B1%2503%258E; MoodleSessionTest=NhzaTNij6j; _ga=GA1.2.925953522.1416155774; _gat=1; __utmt=1; __utma=147409963.925953522.1416155774.1416642544.1416692798.3; __utmb=147409963.1.10.1416692798; __utmc=147409963; __utmz=147409963.1416155774.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none)
Connection: keep-alive
Content-Length: 250
Expect: 100-continue
Content-Type: application/x-www-form-urlencoded; boundary=------------------------b4d79f17a3887f2d

< HTTP/1.1 100 Continue
< HTTP/1.1 200 OK
< X-Powered-By: Express
< Content-Type: application/json; charset=utf-8
< Content-Length: 2
< ETag: W/"2-mZFLkyvTelC5g8XnyQrpOw"
< Date: Thu, 22 Dec 2016 19:13:40 GMT
< Connection: keep-alive

左侧:问题中提供的命令行cURL(带有额外的-v标志)。

右侧:问题中发布的PHP cURL(启用了CURLOUT_VERBOSE)。

正如您所看到的,头文件并不相同,这使得情况清晰明了。PHP调用缺少Accept-EncodingReferer头。

curl命令行与php curl输出的并排比较

如果还没有找到答案,让我们尝试将PHP中的更多cURL设置更改回原始cURL默认值。

在内部,PHP选择覆盖cURL中的一些默认设置而不告诉您。虽然这些设置应该没问题,但是让我们通过显式将它们重置回cURL默认值来重新更改它们:

curl_setopt($curl, CURLOPT_DNS_CACHE_TIMEOUT, 60);
curl_setopt($curl, CURLOPT_DNS_USE_GLOBAL_CACHE, 0);
curl_setopt($curl, CURLOPT_MAXREDIRS, -1);
curl_setopt($curl, CURLOPT_NOSIGNAL, 0);
Moodle有一个选项可以验证HTTP_REFERER。在看到你的回答之前,我也打算发表同样的答案。Referer头绝对是需要检查的内容,即使可能存在更多问题。 - LSerni
太好了。我觉得自己受教了。非常感谢。 - RichardTheKiwi
4

在传递给curl之前,使用http_build_query处理$data数组,以避免出现Content-Type: application/x-www-form-urlencoded; boundary=---。这还确保对密码中的任何特殊字符进行编码。

curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));

将您的curl请求按以下方式重塑:

使用$cookies = '/tmp/some/dir/xyz.cookie.txt'将cookie文件指向登录页面进行GET请求。请确保对于cookie名称使用完整路径,并关闭curl句柄。这将把cookie存储在cookie文件中。

$creq = curl_init();
curl_setopt_array($creq, array(
  CURLOPT_URL => 'http://moodle.tsrs.org/login/index.php',
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => '',
  CURLINFO_HEADER_OUT => true,
  CURLOPT_HTTPHEADER => $headers,
  CURLOPT_FOLLOWLOCATION => false,
  CURLOPT_COOKIEJAR => $cookies // save cookie
));
$output = curl_exec($creq);
curl_close($creq);

现在使用第二个curl请求进行POST请求。这次使用COOKIEFILE选项指向相同的cookie文件。
$creq = curl_init();
curl_setopt_array($creq, array(
  CURLOPT_URL => 'http://moodle.tsrs.org/login/index.php',
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_POST => true,
  CURLOPT_ENCODING => '',
  CURLINFO_HEADER_OUT => true,
  CURLOPT_POSTFIELDS => http_build_query ($data),
  CURLOPT_HTTPHEADER => $headers,
  CURLOPT_FOLLOWLOCATION => false,
  CURLOPT_COOKIEJAR => $cookies, // save cookie
  CURLOPT_COOKIEFILE => $cookies // load cookie
);
$output = curl_exec($creq);
curl_close($creq);

有时服务器会在登录请求时查找cookie(以确保该请求是在访问登录页面之后发出的)。
这也确保对密码中的任何特殊字符进行编码是有误导性的。multipart/form-data编码数据是二进制安全的,当传递一个数组时,curl会自动对其进行编码。此外,在传输大型非ASCII数据时,与application/x-www-form-urlencoded相比,它使用的带宽要少得多。form-data具有更大的头部开销(因此为什么它不适用于小数据以使用较少的带宽),但它根本不对数据进行编码。在urlencode中,(几乎)每个非ASCII字节都是3个字节编码的。在form-data中,所有字节(包括非ASCII字节)都恰好是1个字节。 - hanshenrik
但是,这可能就是为什么它不起作用的原因。curl命令行使用application/x-www-form-urlencoded编码,而php curl(使用他的代码)使用multipart/form-data编码,服务器可能会拒绝。使用http_build_query将使php curl代码也使用application/x-www-form-urlencoded - hanshenrik
2

你的问题很可能与cURL默认发送的HTTP头Expect: 100-continue有关,该头通常出现在每个POST请求中。

Expect: 100-continue头用于包含大数据的POST请求,当客户端无法确定服务器是否接受此请求时。在这种情况下,客户端先发送仅包含Expect: 100-continue的请求头,如果服务器的响应成功,则再发送相同的请求和正文(POST数据)。

问题在于,并非所有Web服务器都能正确处理此头信息。在这种情况下,发送此头是不必要的。

解决方法是通过将array('Expect:')传递给CURLOPT_HTTPHEADER选项,手动从发送头中删除Expect头。在您的情况下,只需将字符串'Expect:'添加到$headers数组即可:

$headers[] = 'Expect:';
刚刚试了一下,没有变化。 - Raghav Sood
@Raghav Sood 你需要显示响应头。这可能有助于找到问题的源头。将 CURLOPT_HEADER 添加到选项数组中,并输出响应头。此外,你还需要提供 CLI cURL 请求的响应头。 - hindmost
1
我通过设置User-Agent解决了这个问题。
$headers = array(
        'Accept: */*',
        'User-Agent: curl/7.68.0',
        'Accept-Encoding: deflate,gzip,br',
        'Content-Type:application/json',
);
0
我怀疑你第一次尝试使用curl命令时,在index.php文件中使用了GET方法。我建议在命令行中的第一个curl请求上启用--trace-ascii,并查看页面是否正在进行GET请求。如果是,则应更改使用POST方法的PHP脚本。如果您将CURLOPT_POST更改为false,则PHP脚本应该可以正常工作。
我相当确定这是一个POST请求,因为我从Chrome Dev工具和Moodle的文档中获取它,严格来说登录只能通过POST方式进行。此外,我正在使用curl访问的页面似乎已经接收到了我的POST数据,因为返回给PHP的登录页面已经填充了我的用户名,这是作为POST变量发送的。 - Raghav Sood
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接