CodeIgniter 中 QUERY_STRING 为空的解决方案

在 CodeIgniter（尤其是 CI 3）中，当服务器环境（如 AWS + Apache + CloudFront）未正确传递查询参数时，$_SERVER['QUERY_STRING'] 可能为空，导致 $_GET 数据不可用；本文提供安全、可靠的替代方案。

在 codeigniter（尤其是 ci 3）中，当服务器环境（如 aws + apache + cloudfront）未正确传递查询参数时，`$_server['query_string']` 可能为空，导致 `$_get` 数据不可用；本文提供安全、可靠的替代方案。

在 CodeIgniter 应用中，若发现 $_GET 超全局变量为空、$_SERVER['QUERY_STRING'] 值为空字符串（如 [QUERY_STRING] =>），且 URL 明确包含查询参数（例如 https://www.example.com/demo.php?id=3），这通常并非 CodeIgniter 自身 Bug，而是由前端代理（如 Amazon CloudFront）、Web 服务器配置（Apache/Nginx）或 PHP 运行模式（如 CGI/FastCGI）导致的 QUERY_STRING 环境变量未被正确注入。

根本原因在于：CloudFront 默认会转发请求，但若原始请求经多层代理或重写规则处理，QUERY_STRING 可能被剥离或未透传至 PHP-FPM/Apache 的 $_SERVER 上下文。从你提供的 $_SERVER 输出可见，REQUEST_URI 为 /demo.php（不含参数），而 QUERY_STRING 为空——说明 Web 服务器在接收请求时已丢失查询字符串。

✅ 推荐解决方案：启用 CodeIgniter 查询字符串模式

CodeIgniter 提供了原生支持 URL 查询字符串的机制，只需在应用初始化阶段启用：

// 在 application/config/config.php 中设置（推荐）
$config['enable_query_strings'] = TRUE;

// 或在控制器构造函数/方法中动态启用（不推荐用于生产）
$this->config->set_item('enable_query_strings', TRUE);

启用后，CodeIgniter 将自动解析 $_SERVER['QUERY_STRING'] 并填充到 $this->input->get() 中，后续可安全使用：

// 示例：获取 id 参数（自动过滤 XSS）
$id = $this->input->get('id', TRUE); // 第二个参数 TRUE 启用 XSS 过滤
if ($id !== NULL && is_numeric($id)) {
    echo "ID: " . (int)$id;
}

⚠️ 注意：启用 enable_query_strings 后，CodeIgniter 的 URI 路由将同时支持两种风格：

• 路径式：/controller/method/param1/param2
• 查询式：/index.php?c=controller&m=method&id=3
  但需确保 index_page 配置正确（如 'index_page' => 'index.php'），否则可能引发 404。

? 备选方案：手动解析并加固（仅限紧急绕过）

若因环境限制无法修改全局配置，可手动解析原始查询字符串，但必须严格校验与过滤：

// 在控制器中安全提取 GET 数据
$get_data = [];
if (!empty($_SERVER['QUERY_STRING'])) {
    parse_str($_SERVER['QUERY_STRING'], $get_data);
    // 使用 CI 安全类进行 XSS 清理（适用于数组）
    $get_data = $this->security->xss_clean($get_data);
} else {
    log_message('warning', 'QUERY_STRING is empty — check proxy/rewrite config');
}

// 安全访问参数
$id = isset($get_data['id']) ? filter_var($get_data['id'], FILTER_SANITIZE_NUMBER_INT) : null;
if ($id && $id > 0) {
    // 处理有效 ID
}

?️ 关键注意事项

• 绝不直接使用 $_GET 或未过滤的 $_SERVER['QUERY_STRING']：易受 XSS、SQL 注入等攻击；
• CloudFront 用户必查：确保 CloudFront 分发的「缓存行为」中启用了「查询字符串转发」（Query String Forwarding and Caching → Yes），否则查询参数根本不会到达源服务器；
• Apache 配置验证：检查 .htaccess 或虚拟主机中是否存在 RewriteRule 错误截断了查询字符串（如遗漏 [QSA] 标志）；
• PHP SAPI 模式影响：在 CGI/FastCGI 模式下，部分旧版 PHP（如 5.6）需显式配置 cgi.fix_pathinfo=1 才能正确解析 QUERY_STRING；
• CI 版本兼容性：CI 3.x 支持 enable_query_strings，但 CI 4.x 已移除此选项，改用 $_GET 或 Services::request()->getGet()，升级时需适配。

✅ 总结

$_SERVER['QUERY_STRING'] 为空本质是基础设施层问题，而非框架缺陷。首选方案是启用 CodeIgniter 内置的 enable_query_strings 并配合 $this->input->get() 安全读取；辅以 CloudFront 和 Apache 配置审查。手动解析仅作临时补救，且必须叠加输入过滤、类型校验与日志监控。保持环境透明（如打印 print_r($_SERVER)）是快速定位此类问题的关键。