我做了一些渗透测试,并试图将无效的utf POST到其中一个脚本(使用BurpSuITe).

但是当我发布无效的utf时,只是十六进制转储$_POST VAR,我看到无效的utf序列在我尝试使用mb_detect_encoding进行验证之前已经被清理过了.

这听起来对我来说是个好消息,但我想知道哪一层正在改变POST数据？

它是Content-tyPE HTTP Header的副作用,也许我的网络服务器正在这样做(lighttpd).或者,当填充$_POST时,它本身就是PHP吗？

我希望看到无效的utf hexdumped,让我自己清理它.