• 重要提示：* 如果你不能确定$qry是安全的，请不要使用它！**

将单引号更改为双引号：

header("Location: http://localhost/blast/v2/?$qry");

PHP中的单引号字符串被视为 string literal，不会解析为变量。
双引号字符串 * 被 * 解析为变量，所以你将得到$qry包含的任何附加内容，而不是字面上的$qry。

你也可以通过一个header添加多个参数，比如：

$divert=$row['id']."&param1=".($param1)."&param2=".($param2);
header("Location:showflagsab.php?id=$divert");

其将两个附加参数添加到原始ID
可以在它们的目的地使用$get方法提取它们

我知道这是一个很老的帖子，但请不要这样做。标头中的参数易受XSS攻击。你可以在这里阅读更多关于XSS'ing的内容：owasp.org/index.php/Cross-site_Scripting_(XSS)

wiles如何修复头位置上的XSS攻击

$param = $_REQUEST['bcd'];
header("Location: abc.php/?id=$param");