php token防止恶意提交

最新推荐文章于 2021-07-28 21:00:37 发布
最新推荐文章于 2021-07-28 21:00:37 发布
阅读量1.1w 收藏 6
点赞数
分类专栏: PHP技术 文章标签: php token
最近后台被扫描工具塞了好多数据,前不久已经做过处理,试用了UCHOME的formhash的方法,但是效果不是很明显,所以考虑要黑盒传递一个密钥,不然如果可以抓取到你表单中的隐藏域的话,表面上的一个令牌是不行的,必须要有一个key来验证这个令牌,并且这个KEY要能够每次都获取的不一样。下面分享我的代码: 
<?php
/**
 * 表单令牌(防止表单恶意提交)
 */
class Form_token_Core{
    const SESSION_KEY = 'SESSION_KEY';
    /**
     * 生成一个当前的token
     * @param string $form_name
     * @return string
     */
    public static function grante_token($form_name)
    {
        $key = self::grante_key();
                $_SESSION['SESSION_KEY.$form_name'] = $key;
        $token = md5(substr(time(), 0, 3).$key.$form_name);
        return $token;
    }
 
    /**
     * 验证一个当前的token
     * @param string $form_name
     * @return string
     */
    public static function is_token($form_name,$token)
    {
        $key = $_SESSION['SESSION_KEY.$form_name']
        $old_token = md5(substr(time(), 0, 3).$key.$form_name);
        if($old_token == $token)
        {
            return true;
        } else {
            return false;
        }
    }
 
    /**
     * 删除一个token
     * @param string $form_name
     * @return boolean
     */
    public static function drop_token($form_name)
    {
        $session->delete(SESSION_KEY);
        return true;
    }
 
    /**
     * 生成一个密钥
     * @return string
     */
    public static function grante_key()
    {
        $encrypt_key = md5(((float) date("YmdHis") + rand(100,999)).rand(1000,9999));
        return $encrypt_key;
    }
}

转载自:http://www.qinbin.me/phptoken/

这个就是不在表单隐藏那个token,而是在程序中利用 md5(时间戳+随机数+随机数)产生一个每次都不相同的key,然后再来验证,感觉还不错。

coreyhsu2020
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
PHP token的生成算法
JineD的博客
11-19 6070
md5 的方式: 1 2 3 4 $v= 1;// 自己定义的 需要hash 的value 值 $key= mt_rand();// 这里用 随机串作为key $hash= md5($key.$v. mt_rand() . time()); echo$hash; 执行结果:b63426a38f86b726ce0d327d48e47376看着不是很舒服, 作为强迫症的我 是受不了的. md5 +...
Php oauth2.0 原理,OAuth 2.0 协议原理与实现:TOKEN 生成算法
weixin_40003451的博客
03-19 511
OAuth2.0协议定义了授权详细流程,并最终以token的形式作为用户授权的凭证下发给客户端,客户端后续可以带着token去请求资源服务器,获取token权限范围内的用户资源。对于token的描述,OAuth2.0协议只是一笔带过的说它是一个字符串,用于表示特定的权限、生命周期等,但是却没有明确阐述token的生成策略,以及如何去验证一个token。RFC6749对于access token的描...
PHP+Redis令牌桶算法 接口限流
weixin_45960743的博客
07-28 304
在开发接口服务器的过程中,为了防止客户端对于接口的滥用,保护服务器的资源, 通常来说我们会对于服务器上的各种接口进行调用次数的限制。比如对于某个 用户,他在一个时间段(interval)内,比如 1 分钟,调用服务器接口的次数不能够 大于一个上限(limit),比如说 100 次。如果用户调用接口的次数超过上限的话,就直接拒绝用户的请求,返回错误信息。 服务接口的流量控制策略:分流、降级、限流等。本文讨论下限流策略,虽然降低了服务接口的访问频率和并发量,却换取服务接口和业务应用系统的高可用。 令牌桶算法.
php 令牌验证 原理,PHP -- ThinkPHP框架下表单令牌原理
weixin_34643336的博客
03-10 312
这篇文章主要介绍了PHP -- ThinkPHP框架下表单令牌原理,较为详细的分析了thinkPHP表单令牌的原理、配置、错误原因与相应的解决方法。thinlphp框架项目中开启表单令牌,要在配置文件中做如下配置array(//是否开启令牌验证'TOKEN_ON'=>true,//令牌验证的表单隐藏字段名称'TOKEN_NAME'=>'__hash__',//令牌哈希验证规则 默认为M...
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
php 令牌验证 原理,表单令牌及验证
weixin_33209661的博客
03-10 336
# 表单令牌表单令牌可以放置重复提交,同时对机器人有一定的拦截作用,在 phpGrace 的支持下(利用 cookie),实现这样的功能是非常简单的,函数说明:## **1、setToken() 设置token**在表单中使用隐藏域设置令牌,如:~~~"/>~~~## **2、getToken 获取令牌的值**在控制器内获取表单提交信息,并校验令牌,如:~~~classindexCont...
PHP token验证生成原理实例分析
10-16
通过在每个表单提交时检查Token,服务器可以确保请求是由用户主动发起的,而不是由恶意的第三方构造的。 总结来说,PHP中的Token验证是一个关键的安全措施,通过生成和验证随机字符串,确保请求的合法性,从而保护...
解析php防止form重复提交的方法
12-18
为了解决这个问题,通常会采取客户端(JavaScript)和服务器端(PHP)双重验证的方式来防止表单的重复提交。下面我们将详细解析给定的PHP防止表单重复提交的实例。 首先,我们从服务器端(PHP)的角度来看防止重复...
php通过记录IP来防止表单重复提交方法分析
12-18
此外,它对防止恶意攻击的效果有限,因为熟练的攻击者可以通过改变IP地址绕过防护。 除了基于IP的方法,还有其他防止重复提交的策略。例如: 1. **生成一次性随机码(Token)**:在表单中添加一个隐藏字段,包含一...
php防止恶意刷新页面的代码小结
10-27
PHP编程中,防止恶意刷新页面是一个重要的安全措施,它主要针对那些可能因用户连续快速点击或自动脚本反复提交而产生大量无效数据的情况。以下是一些常用的PHP防止恶意刷新页面的方法: 首先,我们理解防止恶意...
PHP实现防止表单重复提交功能【基于token验证】
12-19
然而,它并不能完全防止恶意用户的攻击,比如通过抓包工具修改token值。因此,在实际应用中,还应结合其他安全措施,如设置HTTP头的`Cache-Control`和`Pragma`来禁止页面缓存,以及使用CSRF令牌等。 总的来说,PHP...
phptoken做登录认证
雨蝶的博客
08-22 1万+
1.前端传账号密码给后端 2.后端将账号密码作处理加密生成token,并返回给前端 3.前端将token存入缓存,在每次请求时,在header或url中将token传给后端 4.将前端传来的token与数据库账号密码生成的token作比对,相等则成功。  ...
thinkphp5第35课:表单令牌
李书明(石家庄)的专栏
11-11 735
表单令牌的作用:避免表单的重复提交。当然还有另外一个原因,使用表单令牌可以防止黑客绕过表单,伪造数据进行提交。 首先,在前端页面的表单中,添加:<input type="hidden" name="__token__" value="{$Request.token}" /> 比如下面的代码: <!DOCTYPE html> <html lang="en"&gt...
移动端与PHP服务端接口通信流程设计(基础版)
weixin_30825199的博客
05-29 800
转载自:http://blog.snsgou.com/post-766.html --->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录...
PHP使用 tokent (令牌)进行登录
Dennis_ukagaka的博客
05-09 1万+
1. 为什么要使用tokent进行登录 前后端分离或者为了支持多个web应用,那么原来的cookies或者session在使用上就会有很大的问题 cookie和session认证需要在同一主域名下才可以进行认证(目前可以把session存储在redis内进行解决)。 2. 解决方案 oauth2 和 jwt jwt :是一种安全标准。基本思路就是用户提供用户名和密码给认证服...
Token 安全登陆防止窃取
weixin_30677617的博客
08-03 2372
HTTP 协议是无状态的 在web中使用cookie+session的技术来保持用户登陆的状态 移动端使用token来保持用户登陆状态由于token在网络中传输,很容易被 中间人获取,进而模拟用户进行其他相关操作 解决办法: 服务器端 响应头增加随机字符串 CSRF_TOKEN=xxxxxxxxxxx(每次请求都不同) 客户端 客户端和服务端 保...
PHP Token(令牌)设计
dmtnewtons的专栏
04-01 5664
转载链接:http://www.jb51.net/article/13756.htm PHP Token(令牌)设计 设计目标: 避免重复提交数据. 检查来路,是否是外部提交 匹配要执行的动作(如果有多个逻辑在同一个页面实现,比如新增,删除,修改放到一个PHP文件里操作) 这里所说的token是在页面显示的时候,写到FORM的一个隐藏表单项(type=hidden). token不可明文
app接口设计之tokenphp实现
热门推荐
空白_回忆的博客
11-25 3万+
app接口设计之tokenphp实现1、token的设计目的: 因为APP端没有和PC端一样的session机制,所以无法判断用户是否登陆,以及无法保持用户状态,所以就需要一种机制来实现session,这就是token的作用,token是用户登陆的唯一票据,只要APP传来的token和服务器端一致,就能证明你已经登陆(就和你去看电影一样,需要买票,拿着票就能进了)2、token设计时的种类: (1
php radis防止重复提交
最新发布
05-18
PHP 中,可以使用 Redis 来防止重复提交。具体实现方法如下: 1. 在提交表单的页面中,生成一个唯一的 token,并将其存储到 Redis 中。可以使用 PHP 自带的 uniqid() 函数或者第三方库来生成唯一的 token。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值