PHP防止跨站表单提交与同站跨页伪造表单的攻击

最新推荐文章于 2021-03-11 12:13:23 发布
最新推荐文章于 2021-03-11 12:13:23 发布
阅读量613 收藏
点赞数
分类专栏: php 文章标签: php token session function input null



在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("www.rczjp.com",$_SERVER['HTTP_REFERER'])
不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: www.rczjp.cn"); 或者在恶意脚本中伪造HTTP头
由于HTTP Referer是由客户端浏览器发送的,而不是由服务器控制的,因此你不应当将该变量作为一个信任源。

ASP与PHP仿跨站提交
http://www.rczjp.cn/HTML/110602/20115102085115.html

当然登录的时候可以使用验证码来解决,不过其他很多表单提交还是不适宜。

下面给出一个防止伪造表单提交的方案,还解决了同一个站点不同页面的非法调用!

//--------------- 代码 -------------//
session_start();
#随机取6位的散列值
function gen_token() {
$hash = md5(uniqid(rand(), true));
$n = rand(1, 26);
$token = substr($hash, $n, 6);
return $token;
}

function ck_form(){
if (_POST('qm_token')=='' || _SESSION('token')=='' || _POST('qm_token') != _SESSION('token')){
 exit('请勿非法提交');
 }
}
function token_input(){
$token = gen_token();
$_SESSION['token']= $token;
echo "<input type='hidden' name='qm_token' value='$token'/>";
}

//使用方法,注意先后顺序
if(_POST('add')!=''){
 #提交表单的时候验证提交页面的合法性
 ck_form();
正常CODE...
}

<form name="form1" action="" method="post">
 <?php token_input();?>
其他HTML...
</form>
//------------ 代码结束 -------------//
原理:当不同的页面跨站或同站非法跨页提交表单的时候
跨站时获取的隐藏域和SESSION值都为空,可以判断是非法提交,因为合法页面的SESSION和隐藏域我赋了同样的散列值。
同站时SESSION值和POST得到的隐藏域的值不会相同,所以也可以判断是非法提交。


NOTE:
function _POST($str){
    $val = !empty($_POST[$str]) ? $_POST[$str] : null;
    return $val;
}
function _GET($str){
    $val = !empty($_GET[$str]) ? $_GET[$str] : null;
    return $val;
}

function _SESSION($str){
    $val = !empty($_SESSION[$str]) ? $_SESSION[$str] : null;
    return $val;
}

KTZ666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP限制页面只能在微信自带浏览器访问的代码
10-26
我们都想限制程序只能在微信里面浏览,下面是PHP限制页面只能在微信自带浏览器访问的代码,大家可以参考下
php漏洞之请求伪造防止伪造方法
10-26
请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
PHP防止伪造请求:中插入隐藏的随机串
xmlife的专栏
05-09 1051
随机串代码实现 创建一个crumb的实现,代码如下:   class Crumb {
php伪造,PHP防止提交与同伪造攻击
weixin_39841572的博客
03-11 93
在以前的防止攻击的时候,使用了验证提交的页面是否是同一个点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不...
js/jquery 提交
漂泊情愫
03-04 738
方法一:iframe提交 var _login_lock = 0; function LoginSubmit() { var a, actionURL = "http://www.aaa.aaa", loginName = document.getElementById("login_username"), loginPaswd = document.getElementById("lo
php防止伪造请求的小招式
10-28
PHP开发中,防止伪造请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
php中如何防止的重复提交
10-27
PHP开发中,防止重复提交是一个常见的需求,尤其对于处理重要数据或者涉及财务交易的尤为重要。重复提交可能会导致数据不一致,影响系统的正常运行。以下是一些常用的防止重复提交的方法: 1. **利用...
PHP使用token防止重复提交的方法
12-17
1. 为了安全起见,除了使用 token 防止重复提交,还可以结合其他验证机制,如 CSRF(请求伪造)防护。 2. 生成的 token 应该是一次性的,即每次提交后都需要更新 session 中的 token 值,防止用户回退页面后再次...
什么是攻击
ellis2008的专栏
03-11 1669
<br />攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。<br />业界对攻击的定义如下:“攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”由于HTML语言允许使用脚本进行简交互,
php防止伪造请求的小招式
红尘道,红尘练心
05-29 142
 伪造请求介绍   伪造请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的现形式有:   伪造链接,引诱用户点击,或是让用户在不知情的情况下访问   伪造,引诱用户提交可以是隐藏的,用图片或链接的形式伪装。   比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的中加入一个随机且变...
点请求伪造 CSRF攻击
热门推荐
neusoft-mengxiaoming的专栏
07-26 1万+
点请求伪造 严重性: 中 CVSS 分数: 6.4 URL: http://127.0.0.1/test/enterapp.do 实体: enterapp.do (Page) 风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务 原因: 应用程序使用的认证方法不充分 固定值: 验证“Referer”头的值,并对每...
PHP限制网页只能在微信内置浏览器中查看并显示
weixin_34381687的博客
10-05 194
微信现在算是火了,围绕微信开发的应用也越来越多了,前段时间,自己公司需要,用PHP写了一个微信应用,为了防止自己辛苦写成的PHP应用被盗用,于是通过PHP做了限制,只能在微信自带的浏览器中才能打开本应用,一开始无头绪,后经多查证,总算把这功能弄出来了,现在把具体的代码分享给大家。 <?php $useragent = addslashes($_SERVER['HTTP_USER_AG...
php防止XSS脚本攻击
文博那些事儿
05-13 1593
记住一句话,千万不要相信用户输入的都是我们正常思维想到的东西,XSS是什么鬼? 首先我们对用户所有提交的数据都通过 PHP 的 htmlspecialchars() 函数处理。 当我们使用 htmlspecialchars() 函数时,在用户尝试提交以下文本域: location.href('http://www.wenbo.com') - 该代码将不会被执行,因为它会
PHP防止提交的几种办法详解
Sunny
06-27 1886
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网一样的,然后在他自己内或别处,向你的网提交。这种和XSS不一样,是为了提交数据到你的网,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机串,比如V...
【代码】利用php防止用户伪造请求的小技巧
10-10 1675
清源教育php开发课程学习培训之php常用的伪造请求介绍 伪造请求比较难以防范,而且危险系数很大,恶意攻击者经常通过这种方式进行恶作剧,发spam信息,删除网数据等等。这种常见的攻击现形式有: 伪造恶意的链接,诱骗用户去点击,或者让用户在毫无防备的情况下访问 伪造提交,诱骗用户提交是隐藏类型的,用图片或链接的形式伪装。 比较常见并且最常用的防范手段是在
Raspberry pi experiment
weixin_33736832的博客
05-01 1195
Raspberry pi is a credit-card sized computer that can plugin into your TV and keyboards. It is a capable little PC which can be used for many things that your desktop pc does. Offical website: http:...
php 点请求伪造,PHP 请求伪造及防护 (CSRF)【未完成】
最新发布
05-27
2. 随机生成并验证Token:在每个中加入一个Token,通过随机生成的Token来验证请求的合法性,有效防止请求伪造攻击。 3. 利用Session进行验证:在PHP中,可以通过Session来验证用户的身份信息,如果Session...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值