PHP 表单验证--安全性--小记

最新推荐文章于 2024-01-18 11:14:52 发布
最新推荐文章于 2024-01-18 11:14:52 发布
阅读量495 收藏
点赞数
分类专栏: Web PHP 文章标签: POST 黑客 安全 表单 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imwtr/article/details/38908665
版权
Web 同时被 2 个专栏收录
15 篇文章 0 订阅
订阅专栏
PHP
3 篇文章 0 订阅
订阅专栏


HTML 表单数据进行适当的验证对于防范黑客和垃圾邮件很重要!
---------------------------------------------------------------------------------------------------------------------------

首先,用户信息等表单处理最好选用 POST方式
$_GET 是通过 URL 参数传递到当前脚本的变量数组。
$_POST 是通过 HTTP POST 传递到当前脚本的变量数组。
[1]通过 GET 方法从表单发送的信息对任何人都是可见的(所有变量名和值都显示在 URL 中)。GET 对所发送信息的数量也有限制。限制在大于 2000 个字符。不过,由于变量显示在 URL 中,可把页面添加到书签中。
[2]通过 POST 方法从表单发送的信息对其他人是不可见的(所有名称/值会被嵌入 HTTP 请求的主体中),并且对所发送信息的数量也无限制。此外 POST 支持高阶功能,比如在向服务器上传文件时进行 multi-part 二进制输入。
不过,由于变量未显示在 URL 中,也就无法将页面添加到书签。



其次,最好对表单进行验证处理:
例如 某个表单的验证:
 
<span style="font-size:14px;"><form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">
</span>
$_SERVER["PHP_SELF"] 是一种超全局变量,它返回当前执行脚本的文件名。
因此,$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样,用户就能够在表单页面获得错误提示信息。
htmlspecialchars() 函数把特殊字符转换为 HTML 实体。这意味着 < 和 > 之类的 HTML 字符会被替换为 &lt; 和 &gt; 。这样可防止攻击者通过在表单中注入 HTML 或 JavaScript 代码(跨站点脚本攻击)对代码进行利用。

$_SERVER["PHP_SELF"] 变量能够被黑客利用!
如果您的页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS),XSS 能够使攻击者向其他用户浏览的网页中输入用户脚本。


如果用户进入的是地址栏中正常的 URL:
这些代码 
<form method="post" action="<?php echo $_SERVER["PHP_SELF"];?>">

就会转换为: 
<form method="post" action="test_form.php">

但假如用户输入URL:
代码就会转换成: 
<span style="font-size:14px;"><form method="post" action="test_form.php"/><script>alert('hacked')</script>
</span>

这段代码加入了一段脚本和一个提示命令,并且当此页面加载后,就会执行 JavaScript 代码.黑客能够把用户重定向到另一台服务器上的某个文件,该文件中的恶意代码能够更改全局变量或将表单提交到其他地址以保存用户数据,等等



为了避免 $_SERVER["PHP_SELF"] 被利用,用 htmlspecialchars() 函数--把特殊字符转换为 HTML 实体,如下所示: 
<form method="post" action="<?php echo htmlspecialchars($_SERVER["PHP_SELF"]);?>">

在使用此函数后,假如用户在文本区域输入:

但代码不会执行,因为会被保存为转义代码



当然了,数据被处理了,也要处理回来

  在用户提交该表单时,我们还要做两件事:
(通过 PHP trim() 函数)去除用户输入数据中不必要的字符(多余的空格、制表符、换行)
(通过 PHP stripslashes() 函数)删除用户输入数据中的反斜杠(\)


如下例子所示,最后 $the_name 即为表单中name多次处理后的值

<?php
$the_name = "";

if ($_SERVER["REQUEST_METHOD"] == "POST") {
   $data = $_POST["name"];
   $data = trim($data);
   $data = stripslashes($data);
   $data = htmlspecialchars($data);
   $the_name = $data;
   
}
?>


--------------------终于知道了黑客们攻击网站盗取数据的某个方式,建站时多多注意吧..----------------------------

imwtr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaScript案例-js表单验证
02-16
在网页表单中,验证通常是必不可少的步骤,它可以确保用户提交的数据符合预期格式和规则,例如电子邮件地址的格式、手机号码的合法性、密码强度等。JavaScript可以实时进行这些验证,提供即时反馈,而无需等待服务器...
vee-validate vue 2.0自定义表单验证的实例
10-18
今天小编就为大家分享一篇vee-validate vue 2.0自定义表单验证的实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
php表单验证安全
Gin
03-29 770
表单元素 表单的 HTML 代码是这样的: "> 当提交此表单时,通过 method="post" 发送表单数据。 什么是 $_SERVER["PHP_SELF"] 变量? $_SERVER["PHP_SELF"] 是一种超全局变量,它返回当前执行脚本的文件名。 因此,$_SERVER["PHP_SELF"] 将表单数据发送到页面本身,而不是跳转到另一张页面。这样
PHP表单验证安全
Hardworking666的博客
12-27 2710
文章目录一、表单简介二、表单验证实例三、$_SERVER["PHP_SELF"] 变量的跨站脚本利用与避免 一、表单简介 表单(Form)在网页中主要负责数据采集功能。 一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI(公共网关接口)程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来..
6个常见的 PHP 安全性攻击
justJavaC的专栏
08-20 228
了解常见的PHP应用程序安全威胁,可以确保你的PHP应用程序不受攻击。因此,本文将列出 6个常见的 PHP 安全性攻击,欢迎大家来阅读和学习。  1、SQL注入  SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL注入机制,但只针对shell命令。  01 $us...
PHP 表单验证
11-13 2431
PHP 表单验证 表单验证 我们应该尽可能的对用户的输入进行验证(通过客户端脚本)。浏览器验证速度更快,并且可以减轻服务器的压力。 如果用户输入需要插入数据库,您应该考虑使用服务器验证。在服务器...
关于 PHP 表单安全性
weixin_33709364的博客
06-19 88
PHP 表单安全性$_SERVER["PHP_SELF"] 变量能够被***利用!如果页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。假设我们的一张名为 "test_form.php" 的页面中有如下表单:<formmethod="post"action="<?phpecho$_SERVER["PHP_SELF"];?&gt...
详解element-ui中表单验证的三种方式
10-16
主要介绍了详解element-ui中表单验证的三种方式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vue+vue-validator 表单验证功能的实现代码
08-28
在本文中,我们将深入探讨如何使用Vue.js框架与vue-validator插件实现表单验证功能。Vue.js是一个轻量级的JavaScript库,它提供了一种声明式、组件化的开发方式,而vue-validator则是一个用于Vue.js的表单验证工具,...
使用element-ui +Vue 解决 table 里包含表单验证的问题
09-16
然而,在实际应用中,尤其是在表格中嵌入表单元素并进行数据验证时,会遇到一些挑战。本文将详细介绍如何使用Element-UI和Vue.js来解决在表格中包含表单验证的问题。 首先,我们需要理解Element-UI的表单验证机制。...
php表单安全,关于 PHP 表单安全性
weixin_36208314的博客
03-10 91
PHP 表单安全性$_SERVER["PHP_SELF"] 变量能够被***利用!如果页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。假设我们的一张名为 "test_form.php" 的页面中有如下表单:">现在,如果用户进入的是地址栏中正常的 URL:"http://www.example.com/test_form.php",上面的代码会转换为:到目前,一...
php表单安全,php中form表单安全验证
weixin_32859459的博客
03-10 335
php中form表单安全验证发布时间:2020-05-23 10:55:43来源:亿速云阅读:191作者:Leah本篇文章主要探讨php中form表单安全验证。有一定的参考价值,有需要的朋友可以参考一下,跟随小编一起来看解决方法吧。一、token功能简述PHP 使用token验证可有效的防止非法来源数据提交访问,增加数据操作的安全性二、实现方法:前台form表单:后台do.php的token验...
关于 PHP 表单安全性的重要提示
Qbit编程学习笔记
01-25 813
关于 PHP 表单安全性的重要提示 $_SERVER["PHP_SELF"] 变量能够被黑客利用! 如果您的页面使用了 PHP_SELF,用户能够输入下划线然后执行跨站点脚本(XSS)。 提示:跨站点脚本(Cross-site scripting,XSS)是一种计算机安全漏洞类型,常见于 Web 应用程序。XSS 能够使攻击者向其他用户浏览的网页中输入客户端脚本。 假设我们的一张名为 "t
PHP实例之表单安全验证
weixin_42625218的博客
05-03 1284
这篇文章主要介绍了php token使用与验证方法,通过对form表单hidden提交字段的处理实现token验证功能,防止非法来源数据的访问 一、token功能简述 PHP 使用token验证可有效的防止非法来源数据提交访问,增加数据操作的安全性 二、实现方法: 前台form表单: <form action="do.php" method="POST"> <?php $modu...
php表单安全验证,thinkPHP表单异步验证和表单验证
weixin_35844236的博客
03-25 132
在thinkPHP中有一个专门的类文件可以自动生成验证码 的,Thinkphp/Library/Think/Verify.class.phppublic function code(){$config = array('fontSize' => 20, // 验证码字体大小'length' => 4, // 验证码位数'useNoise'...
php完整表单验证实例
stryker的专栏
10-01 3289
.error{color:#FF0000} <?php $nameErr=$emailErr=$genderErr=$websiteErr=""; $name=$email=$comment=$gender=$website=""; if($_SERVER["REQUEST_METHOD"]=="POST") { if(empty($_POST["name"])) {
后端基础PHP表单验证
最新发布
remarkably的博客
01-18 956
php基础
头歌php 表单语言进阶
m0_62788719的博客
11-02 3092
头歌php 表单语言进阶
PHP语言之表单基础——educoder答案
weixin_45503320的博客
06-15 7953
第1关:文本类表单内容 - 资料填写 if (KaTeX parse error: Expected '}', got 'EOF' at end of input: … echo "欢迎"._POST[‘name’].",你今年".$_POST[‘age’].“岁”;} 第2关:按钮类表单内容 - 网页选择 website=isset(website = isset(website=isset(_GET[‘website’])? GET[′website′]:′′;if(_GET['website

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值