discuz/uchome等康盛产品formhash()浅析

最新推荐文章于 2023-03-04 12:59:34 发布
最新推荐文章于 2023-03-04 12:59:34 发布
阅读量6.5k 收藏
点赞数 1
分类专栏: Discuz

formhash是一种类似验证码的东西,用来防止网站外部提交数据。
它在页面打开时就已经生成了,存在一需要提交数据用到的地方的隐藏input里(比如登录、发布文章)。

比如,在UCHOME的登录页面模板里,我们可以看到这样的:

HTML代码
  1.     
  2. <input type="hidden" name="formhash" value="<!--{eval echo formhash();}-->" />  

formhash这个值是来自formhash()这个函数的。在我们(登录)提交表单时,同时也会把这个formhash值传到服务器,然后验证formhash值是否正确,如果不正确,则判断为非法提交数据。
验证过程在submitcheck()这个函数里,在uchome的include/function_common.php。

PHP代码
  1.     
  2. $_POST['formhash'] == formhash()  

知道流程了,现在我们就来看看原理。
在formhash()函数中可以看到:

PHP代码
  1.     
  2. $_SGLOBAL['formhash'] = substr(md5(substr($_SGLOBAL['timestamp'], 0, -7).'|'.$_SGLOBAL['supe_uid'].'|'.md5($_SCONFIG['sitekey']).'|'.$hashadd), 8, 8);  

formhash就是这么得来的:
首先,substr($_SGLOBAL['timestamp'], 0, -7),截取时间戳前3位。(保证formhash在一定的时间里生效且不变,截取前3位,大概是115天),然后跟用户UID、md5后的siteke​y等连接得出字符串,然后再md5,并截取字符串的8位。由于sitekey是唯一的,再加上UID,而且都是MD5的,破解的机会几乎是0(不排除MD5以后​会被完全破解)。别人无法仿造FORMHASH,就无法远程提交数据了。

qw_xingzhe
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言POST发贴
07-19
易语言POST发贴源码,POST发贴,post登陆,发贴,取formhash
Discuz Uchome ajaxpost小技巧
10-28
discuz的ajaxpost功能有点强大,但缺点也很明显,如果ajaxpost提交一个FORM,那么返回的时候只能显示showmessage的内容,而不会主动跳转,因此这里就有一个小技巧 了。
【PHP】(原创)之表单FORMformhash校验,以TP3.2示例
weixin_34292924的博客
01-10 1366
1、目的:每次表单POST提交(ajax的POST也适用)过来数据,都必须校验formhash参数是否和服务器端的一致,不一致说明重复提交或者 跨站攻击提交csrf 2、原理:参照了 KPPW 的formhash生成和校验示例。将formhash的生成写入基类构造函数,每次登陆用户操作数据,都生成hash并进行比较。 (用户未登录状态,也可以校验formhash,可以让你的网站免于 遭受  无状态...
Web开发基本准则-55实录-Web访问安全
weixin_34309543的博客
10-15 146
  Web开发工程师请阅读下面的前端开发准则,这是第一部分,强调了过去几年里我们注意到的Web工程师务须处理的Web访问安全基础点。尤其是一些从传统软件开发转入互联网开发的工程师,请仔细阅读,不要因为忽视这些基础点而制造一个又一个的漏洞或突发事件。 Web开发基本准则-55实录-Web访问安全 郑昀 创建于2013年2月 郑昀 最后更新于2013年10月14日 提纲: Web访问...
formHash的实现
weixin_30437847的博客
06-25 355
问题重现 在我们的项目中,有一个商店购买的页面,流程是这样的: 选择道具 -----> 点击购买 -------> 获得道具------> 扣除银币 如果玩家在一秒钟并发的请求这个URL, 如果他有100个银币,只可以买10个道具,由于并发的问题,他还可以买100个道具,到时候,他的银币的数量可能扣除为负数。这样,对游戏来说,是非常严重的问题。 并...
网站有formhash值的自动签到实现)
最新发布
panqihuan33的博客
03-04 293
本文用于网站有formhash值的每天自动签到的学习交流哈,不多说直接上代码。
php discuz 顶,discuz模拟登录实现自动顶帖php程序_PHP教程
weixin_35208293的博客
03-10 376
在php 模仿登录我们需要使用curl_init函数,下面我来介绍利用 curl 模拟 post 登录discuz论坛并且实现自动顶帖功能。其实模拟登录就那点事,无法就是获得相应的参数,然后模拟发送,把获得的COOKIE 带入下一步操作中去discuzx 系列为防止灌水,一直在用 formhash() 这个函数:1、下面来看下formhash 这个函数:代码如下复制代码function formh...
discuz formhash
weixin_30951231的博客
01-19 272
class.core.php中 $this->var['formhash'] = formhash();define('FORMHASH', $this->var['formhash']); hash值生成方法 function formhash() { return substr(md5(substr($this->time, 0, -4).UC_KEY)...
discuz formhash 隐藏域的写法
天天的博客
06-16 297
给大家直接上模板
python discuz发帖_python:Discuz发帖器的实现
weixin_36234738的博客
02-19 979
首先要清楚discuz论坛发帖的流程,简单地说就是以下流程:进入登录页 ->登录 -> 进入版面 ->发帖登录和发帖时要获取到页面的formhash值,否则会失败,如果启用了验证码,还得去分析验证码,这就比较复杂了。这里只用python来描述这一系列过程,涉及到验证码还请大家自行去实现。#!/usr/bin/env python#coding=utf-8from urllib i...
Discuz_uchome_二次开发权威指南
02-17
Discuz_uchome_二次开发权威指南
UCHOMEDISCUZ二次开发权威指南完整版
05-13
UCHOMEDISCUZ二次开发权威指南完整版
discuz,supesite,uchome
11-24
绝好的东西绝好的东西绝好的东西绝好的东西绝好的东西
Uchome and Discuz-开源
05-15
UC home社交网络和Discuz董事会。
Android HttpClient自动登陆discuz论坛!
06-06 478
你登陆论坛的时候,我们先看看浏览器干了什么事儿: 用Firefox打开HiPda 的登陆页面,输入用户名和密码,点登陆。 下面是通过firebug插件获取的数据: 可以看到浏览器这个http://www.hi-pda.com/forum/logging.php?action=login&loginsubmit=yes&inajax=1网址发了一个POST请求 看一下它POST的参数
网站防止远程POST提交的方法思路。discuz的submitcheck函数评析
热门推荐
____
12-27 1万+
discuz自带的一个判断是否是远程提交,其实这个函数这样毫无意义。 discuz的自带的判断是否是远程提交的函数submitcheck:地址 D:\website\***.com\www\source\class\helper\helper_form.php public static function submitcheck($var, $allowget = 0, $s
【原】discuz! 7.2 超详细代码解析(2)
步满生错的专栏
09-28 4279
2010年07月16日 星期五 20:30 由于某度众所周知的举动,让我搬离写了5年的渣度空间,准备把技术性的文章定在CSDN了。这些都是文章备份。勿怪。。 鉴于最近有些抓取机器和抄袭者,把标题的【原】字都复制,我不得不声明:本文为 yukon12345原创,转载请注明出
docker 自动签到模板制作
firefly_feihuo的博客
08-13 6217
1,安装docker容器 容器名 asdaragon-qiandao 端口 自定义-80 路径 自定义/database.db-/usr/src/app/config/database.db //database.db需要在本地建立一个txt文件,修改文件名和后缀创建 2.保存登录页面 用firefox打开页面,并按f12开启开发者模式,点击登录按钮,选择对应登录链接右键保存为har文件 3,新建一个模板,并上传har文件,获取formhash 增加变量提取 formhash=f.
hsweb提取页面查询参数_提取网页,登录情况填写规则,参数和值获取办法
weixin_35476604的博客
01-14 451
提取网页,登录情况填写规则,参数和值获取办法(2013-12-06 21:11:52)标签:校园点击采集选项卡左下角增加,弹出采集网站规则页面如果以前添加过网站规则,且现在要增加的网站正好与此网站规则一样那只要在网站规则中点选,如果没有则点右下角添加规则在测试网站域名文本框中填入完整域名,如http://www.xxx.com/填上规则名称,接下来开始填写登陆规则,打开右上角“打开抓包程序”在抓包...
UChome二次开发文档详细介绍
09-06
【UCHome二次开发】uchome文件体系介绍 4 站点结构图 4 UCHOME安装后的主要目录与文件介绍 4 文件入口参数列表及详细介绍 5 数据调用图示 8 do.php入口文件分析 8 【UCHome二次开发】基础 10 数据调用 10 eval的使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值