本节介绍下php伪造referer(HTTP_REFERER)的方法。
环境:Apache/2.2.8 + PHP/5.2.5 + Windows XP系统,本地测试。
首先,在网站虚拟根目录下建立1.php和2.php两个文件。
1,文件 1.php
/**
* 伪造http_referer来源
* edit www.jbxue.com
* at 2013/7/4
*/
$host = '127.0.0.1';
$target = '/2.php';
$referer = 'http://www.jbxue.com'; //伪造HTTP_REFERER地址
$fp = fsockopen($host, 80, $errno, $errstr, 30);
if (!$fp){
echo "$errstr($errno)
\n";
}
else{
$out = "
GET $target HTTP/1.1
Host: $host
Referer: $referer
Connection: Close\r\n\r\n";
fwrite($fp, $out);
while (!feof($fp)){
echo fgets($fp, 1024);
}
fclose($fp);
}
?>
2,文件 2.php
读取当前的HTTP_REFERER服务器值。
echo "
";
echo $_SERVER["HTTP_REFERER"];
?>
执行1.php文件,打开http://localhost/1.php,页面返回信息如下:
HTTP/1.1 200 OK Date: Fri, 04 Apr 2008 16:07:54 GMT Server: Apache/2.2.8 (Win32) PHP/5.2.5 X-Powered-By: PHP/5.2.5 Content-Length: 27 Connection: close
Content-Type: text/html; charset=gb2312
http://www.jbxue.com
从以上结果可知,伪造来源HTTP_REFERER信息是成功的。
因此,如果仅仅是判断HTTP_REFERER,是不安全的,可以考虑在验证页中加上验证码;再结合IP判断就更安全了。
补充,ASP下下伪造来源,可以参考如下代码:
复制代码 代码示例:
dim http
set http=server.createobject("MSXML2.XMLHTTP") '//MSXML2.serverXMLHTTP也可以
Http.open "GET",url,false
Http.setRequestHeader "Referer","http://www.jbxue.com/"
Http.send()
%>
有关php中依靠来源http_referer的例子,就介绍到这里了,最后又介绍了一个asp中伪造来源http_referer的例子。
希望以上的内容,对您有所帮助。