PHP防csrf攻击

最新推荐文章于 2023-09-09 12:18:46 发布
最新推荐文章于 2023-09-09 12:18:46 发布
阅读量978 收藏
点赞数
 

PHP防csrf攻击

标签: CSRFPHP
2015-12-14 20:01  2829人阅读  评论(0)  收藏  举报
  分类:

版权声明:本文为博主原创文章,未经博主允许不得转载。

由于用户可能会从其他途径POST过来,因此我们需要防止这种情况


原理:在页面生成一个随即串并保存在token中,用于在服务器中比对


index.php 与 temp.php  两个页面示范


index.php 页面:

[php]  view plain  copy
  1. <pre name="code" class="php"><?php  
  2.     session_start();  
  3.     $csrf = md5(uniqid(rand(), TRUE));  //生成token  
  4.     $_SESSION['csrf'] = $csrf;  
  5. ?>  
  6. <meta charset="utf-8">  
  7. <form action="temp.php" method="post" name="form1" idf="form1">  
  8.     测试:<input type="text" name="user" id="user">  
  9.     <input type="hidden" name="csrf" id="csrf" value="<?php echo $csrf;?>">  
  10.     <input type="submit" name="submit" value="提交">  
  11. </form>  

 

 
 
 
  
 
   
 
    [php]  
    view plain 
     copy 
    
 
    
 
     
   
 
  
 
  
  1.  <span style="background-color: rgb(255, 255, 255);">  
  2.  </span>  
 
 
 
 
 
  
 
   
 
    [php]  
    view plain 
     copy 
    
 
    
 
     
   
 
  
 
  
  1.  <span style="background-color: rgb(255, 255, 255);">  
  2.  </span>  
 
 
 
 
 
  
 
   
 
    [php]  
    view plain 
     copy 
    
 
    
 
     
   
 
  
 
  
  1.  temp.php页面:  
 
 
 
 
 
  
 
   
 
    [php]  
    view plain 
     copy 
    
 
    
 
     
   
 
  
 
  
  1.  <pre name="code" class="php"><?php  
  2.  session_start();  
  3.      if(isset($_POST['user']) && $_SESSION['csrf'] == $_POST['csrf']){  
  4.          echo '测试通过且 csrf:'.$_SESSION['csrf'];  
  5.      }else{  
  6.          echo '测试失败';  
  7.      }  
 
 
 


                

        

        

    




    

      

        

            

              
                
                  伪装者6
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
Laravel中CSRF攻击

				
			

			

				

					qq_54050785的博客
				

				

					04-09
					
					135
					
				

			

		

		

			
				
Laravel中CSRF攻击

			
		

	



                

              
                



	

		

			

				
					
php中如何防止CSRF攻击

				
			

			

				

					曹品东
				

				

					12-02
					
					820
					
				

			

		

		

			
				
3.1 Cookies Hashing
第一个方案可能是解决这个问题的最简单和快捷的方案了,因为攻击者不能够获得被攻击者的Cookies内容,也就不能够构造相应的表单。
这个问题的实现方法与下面的类似。在某些登录页面我们根据当前的会话创建Cookies:
 <!-- login.php -->
  <?php
  // Cookie value
  ...

			
		

	



                


  
              

                


	

		

			

				
					
csrf攻击php,Yii2.0csrf攻击方法

				
			

			

				

					weixin_28748675的博客
				

				

					03-10
					
					185
					
				

			

		

		

			
				
yii2中无论是用测试工具POSTMAN、用命令行CURL请求、ajax请求总是会得到http400:Bad Request的错误;而如果用Web网页方式GET访问(去除verbFilter的POST限制),是正常的通过查阅资料发现,这是CRSF验证的原因原理:Cookie Hashing, 让服务器发送给客户端的所有表单中都标示一个随机值_csrf,并同时在客户端的COOKIE中保存一个相关联的...

			
		

	





	

		

			

				
					
php如何防止csrf攻击

				
			

			

				

					大熊
				

				

					12-31
					
					853
					
				

			

		

		

			
				
原创2019-09-20 13:51:230

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:

攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货...

			
		

	



		

			
		



	

		

			

				
					
phpcsrf攻击,zblog php添加Token防止CSRF攻击

				
			

			

				

					weixin_29885875的博客
				

				

					04-14
					
					275
					
				

			

		

		

			
				
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。通过GET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:如果不是,那么您也可以直接通...

			
		

	





	

		

			

				
					
csrf攻击php,【技术分享】从开发角度浅谈CSRF攻击

				
			

			

				

					weixin_30213477的博客
				

				

					03-10
					
					187
					
				

			

		

		

			
				
什么是CSRFCSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去–购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意行为.CSRF可以简单分为Get型和Post型两种。Get型CSRF:看到这个名字,很明显是发送GET请求导致的。我这里简单的说一下:GET型的CSRF利用非常简单,通常只...

			
		

	





	

		

			

				
					
CSRF攻击

				
			

			

				

					mocas_wang的博客
				

				

					12-22
					
					3076
					
				

			

		

		

			
				
目录

1 CSRF介绍

1.1、CRSF攻击原理

1.2、攻击举例

2 攻击实例

2.1 CSRF的原理

2.2 CSRF御

1 CSRF介绍

 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:
   攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,...

			
		

	





	

		

			

				
					
如何预CSRF攻击

				
			

			

				

					stormjun的博客
				

				

					09-09
					
					537
					
				

			

		

		

			
				
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些范措施,例如随机令牌、Referer 校验和 SameSite Cookie 等。建议采用多种范措施,以增强 Web 应用程序的安全性。

			
		

	





	

		

			

				
					
php如何csrf攻击,一个重大困惑难题,如何有效防止CSRF攻击

				
			

			

				

					weixin_31764271的博客
				

				

					03-18
					
					152
					
				

			

		

		

			
				
网上有种方法是使用$_SERVER['HTTP_REFERER']但是有文章又指出referer可以伪造的例如回复讨论(解决方案)CSRF通过伪装来自受信任用户的请求来利用受信任的网站那么用 $_SERVER['HTTP_REFERER'] 显然是不可以的,因为这是可伪造的(你也是知道的)对于表单,你可以放置一个即时发放的随机串(token)或验证码对于普通页,你可以通过 ajax 获取一个通行字...

			
		

	





	

		

			

				
					
从开发角度浅谈CSRF攻击

				
			

			

				

					02-25
				

			

		

		

			
				
CSRF可以叫做(跨站请求伪造),咱们可以这样子理解CSRF攻击者可以利用你的身份你的名义去发送(请求)一段恶意的请求,从而导致可以利用你的账号(名义)去--购买商品、发邮件,恶意的去消耗账户资源,导致的一些列恶意...

			
		

	





	

		

			

				
					
CSRF跨站请求伪造CSRF PHP demo代码

				
			

			

				

					05-04
				

			

		

		

			
				
在这个PHP demo中,我们将深入理解CSRF攻击的原理,并探讨如何范。  首先,让我们看看`login.php`。这个文件通常用于处理用户的登录逻辑。在CSRF攻击中,攻击者会创建一个带有恶意操作的链接或表单,当用户在未...

			
		

	





	

		

			

				
					
csrf绕过Referer技巧-01

				
			

			

				

					09-15
				

			

		

		

			
				
CSRF攻击是Web应用安全中一个常见的问题, Referer头可以用来CSRF攻击,但是攻击者可以通过绕过Referer技巧来欺骗服务器。因此,Web开发者需要采取多种御措施来CSRF攻击,例如验证Token、双重验证、验证码...

			
		

	





	

		

			

				
					
360提供的phpsql注入代码修改类

				
			

			

				

					05-02
				

			

		

		

			
				
本文将深入探讨360提供的PHPSQL注入代码修改类,以及如何通过此类来范这两种攻击。  一、SQL注入  SQL注入是一种利用网站应用程序的漏洞,通过输入恶意SQL语句来控制数据库的攻击手段。攻击者可以获取、修改、...

			
		

	





	

		

			

				
					
第二节 无护的CSRF漏洞利用-01

				
			

			

				

					09-15
				

			

		

		

			
				
今天,我们将深入探讨无护的CSRF漏洞利用,了解如何构造GET型和POST型CSRF攻击。  GET型CSRF代码分析  在GET型CSRF攻击中,攻击者可以通过构造特殊的URL,欺骗用户在当前已登录的Web应用上执行非法操作。例如,在...

			
		

	





	

		

			

				
					
蓝桥杯单片机竞赛-超声波测量显示

				
			

			

				

					08-04
				

			

		

		

			
				
博客地址:https://blog.csdn.net/weikangcekong/article/details/140906931?spm=1001.2014.3001.5501

			
		

	





	

		

			

				
					
高等教育计算机网络基本知识

				
			

			

				

					08-04
				

			

		

		

			
				
高等教育计算机网络基本知识

			
		

	





	

		

			

				
					
shapely-2.0.5-cp310-cp310-macosx_11_0_arm64.whl

					
最新发布

				
			

			

				

					08-04
				

			

		

		

			
				
shapely-2.0.5-cp310-cp310-macosx_11_0_arm64.whl

			
		

	





	

		

			

				
					
红外传感器在 障碍物探测应用 中的抗干扰 问题摘自配件手册.pdf

				
			

			

				

					08-04
				

			

		

		

			
				
红外传感器在 障碍物探测应用 中的抗干扰 问题摘自配件手册.pdf

			
		

	





	

		

			

				
					
CSRF绕过Referer攻击策略与PHP御破解

				
			

			

				

					
				

			

		

		

			
				
本文将深入探讨"csrf绕过Referer技巧-01"这一主题,主要聚焦于跨站请求伪造(CSRF)攻击中的一个常见御机制——Referer头验证。Referer头通常由浏览器在发起新的HTTP请求时发送,用于指示请求的来源,以便服务器能够...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值