TP3.2.3开启令牌验证

最新推荐文章于 2021-12-03 17:52:27 发布
最新推荐文章于 2021-12-03 17:52:27 发布
阅读量252 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/lindoubao/p/6102290.html
版权

看TP手册的安全专题时看到:

输入过滤中提到:

永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议:

  • 开启令牌验证避免数据的重复提交;
  • 使用自动验证和自动完成机制进行初步过滤;
  • 使用系统提供的I函数获取用户输入数据;
  • 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等;  

 

开启令牌验证保证数据表单提交数据只能提交一次,有效防止表单的重复提交等安全防护。这就保证了提交数据的唯一性。在Tp中,其原理是系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。这样表单每次提交就要被验证是否带有这个值。从而保证了数据提交的唯一性。

除了按照手册上的配置之外还需在MOde\commom.php中的 模板输出替换 添加   'Behavior\TokenBuildBehavior'

开启之后就可以看到表单中模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。

 

转载于:https://www.cnblogs.com/lindoubao/p/6102290.html

weixin_30617797
关注
【学习手册】Apache pulsar操作手册
遇事不决问春风
02-09 4027
pulsar的安装部署、api常规操作及权限验证
RPC架构设计方法论(完结)
如切如磋,如琢如磨
06-02 548
读完本文你会收获: 通过一种宏观的视角设计一种灵活的可扩展的RPC架构 分块介绍服务发现、健康监测、路由策略、负载均衡、异常重试的解决方案 如何优雅的启动和关闭RPC服务,以及如何通过熔断限流及业务分组来增强架构的鲁棒能力 文章目录1 可扩展RPC框架设计图2 分模块解析2.1 服务发现2.2 健康监测2.3 路由策略2.4 负载均衡3 增强架构鲁棒性的手段3.1 重试机制3.2 优雅启动3.3 优雅关闭3.4 熔断限流 1 可扩展RPC框架设计图 2 分模块解析 2.1 服务发现 2.2 健康监测
关于ThinkPHP表单令牌错误的相关解决办法
热门推荐
攀爬蜗牛-dutycode.com
03-07 1万+
今天在用ThinkPHP做程序的时候,以前用create创建数据的时候,出现了错误提示“表单令牌错误”,然后各种百度各种谷歌,得到的网上解答给出了以下的建议 1、清缓存: 用了,我把所有的Cache下的文件都删掉了,并将~app.php和~runtime.php两个文件同时都删掉了,但是没有效果。 2、将TOKEN_ON参数设置为FALSE: 试过了,但是也不行,虽然不提示表单令牌错误了,但是
ThinkPHP3.2支持表单令牌
minihuabei的博客
12-11 389
防止同一个请求多次提交 config.php 'TOKEN_ON' => true, // 是否开启令牌验证 默认关闭 'TOKEN_NAME' => '__hash__', // 令牌验证表单隐藏字段名称,默认为__hash__ 'TOKEN_TYPE' => 'md5', //令牌哈希验证规则 默认为MD5 'TOKEN_RESET' => true, //令牌验证出错后是否重置令牌 默认为true在这里插入代码片 tags.php <
ThinkPHP自动令牌验证(附实例)
koothon的专栏
04-17 5491
自动令牌会向当前SESSION会话当中放上一个md5加密的字符串。并将这个字符串以隐藏域的形式插入到表单的form之前。这个字符串出现在两个地方,一个是在SESSION当中,另一个就是在表单当中。当你提交表单后,服务器第一件事就是对比这个SESSION信息,如果正确的话,准许表单提交,否则不允许提交。
thinkphp token表单令牌
冰雪中的昙花
09-07 1471
1,配置目录下建立tags.php,内容为 return array(      // 添加下面一行定义即可      'view_filter' => array('Behavior\TokenBuild'),     // 如果是3.2.1以上版本 需要改成     // 'view_filter' => array('Behavior\TokenBuildBehavior'),
ThinkPHP表单令牌的设置步骤
小罗的博客
04-18 3347
1在Home下conf下的config.php文件配置参数表单令牌验证相关的配置参数有:‘TOKEN_ON’ => true, // 是否开启令牌验证 默认关闭 ‘TOKEN_NAME’ => ‘hash‘, // 令牌验证表单隐藏字段名称,默认为hash ‘TOKEN_TYPE’ => ‘md5’, //令牌哈希验证规则 默认为MD5 ‘T
变压器编码器-解码器框架用于在线动作检测
7565OadTR:使用变压器进行在线动作检测王翔1张世伟2 *志武卿1邵元杰1左正荣1高长新1农桑1 *1人工智能与自动化中国华中科技大学2阿里巴巴集团,中国{wxiang,qzw,...附加任务令牌的编码器旨在捕获关系和全局
【笔记】Apache pulsar学习手册
遇事不决问春风
12-03 2220
Apache pulsar学习手册 写在前头:本文主要由【安装部署】、【概念简介】、【常用操作】、【权限管理】几部分构成。因为是Typora导入过来,有些图片用不了。有啥问题评论区见 1、Apache pulsar安装部署 1.1、前期准备 zookeeper 3.4.5 pulsar安装包 2.8.1 集群免密环境 1.2、部署步骤 1.2.1、上传安装包到linux服务器上 下载地址:https://pulsar.apache.org/zh-CN/download/ 1.2.2、解压文件到data
"服装表示学习:OutfitTransformer框架的研究
3601OutfitTransformer:...OutfitTransformer,使用提出的任务特定的令牌,并利用自我注意力机制来学习有效的服装级表示,编码整个服装中所有项目之间的兼容性关系,以解决兼容性预测和互补项目检索。对于兼容性预测
ThinkPHP3.2开启静态缓存
weixin_33915554的博客
12-18 220
2019独角兽企业重金招聘Python工程师标准>>> ...
thinkphp如何使用令牌防止表单重复提交
Alvin博客
08-30 334
thinkphp表单如何使用令牌功能,如何防止表单重复提交? thinkphp框架中已经定义好了令牌功能,我们只需要按照格式配置和启用就可以了。 令牌的使用思路? 首先需要在thinkphp的配置文件中添加令牌参数,配置参数如下图: //令牌配置文件 'TOKEN_ON'=>true, // 是否开启令牌验证 'TOKEN_NAME'=>'...
Thinkphp3.2.3 解决关联模型的自动生成问题($_auto)
grey256的博客
03-23 1744
Thinkphp 关联模型 自动生成
csrf防攻击
s1095622320的博客
10-12 79
csrf攻击是跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性 查看更多csrf tp6shop–Singwa --9-14 表单中+ {:token_field} 控制器验证 $check = $this->request->checkToken('__token__'); if(!$check){ return "非法操作"; } 就是这么简单! ...
php令牌案例,ThinkPHP自动令牌验证(附实例)
weixin_32192681的博客
03-20 229
一、数据表结构user表结构如下:id username password二、view模板部分/view/index.html页面如下:123456三、action部分:/Controller/IndexController.class.php页面如下:12345678910111213141516171819namespace Home\Controller;use Think\Controll...
ThinkPHP 3.2 Token表单令牌
aituochang1886的博客
03-30 696
/home/conf/config.php 中配置 'TOKEN_ON'=>true, 'TOKEN_NAME'=>'__hash__', 'TOKEN_TYPE'=>'md5', 'TOKEN_RESET'=>true, 令牌验证行为绑定,在tags.php中 <?php return array('view_fil...
【CSRF攻击】
咔咔博客
05-10 636
author:咔咔 wechat:fangkangfk csrf:跨站请求伪造 1.用户登录A网站 2.用户登录成功后A网站给返回cookie 3. 用户可以携带A网站返回cookie来正常请求A网站 4.这时在用户没有退出A网站,访问B网站 5.B网站接收到用户的请求后返回一些攻击代码 6.从而B网站可以携带用户的cookie来请求A网站,这种请求可能包含更新,删...
thinkPHP3.2.3 中伪造表单的一种示例及解决方法
Inite的博客
09-18 1719
在提交往数据库插入数据的表单的时候,如果不对表单字段进行过滤(限制),就容易被利用浏览器的开发调试工具对个别字段进行改名从而破坏数据库的内部数据,如下简单例子所示: 将表单的goods_desc字段改为id后将其之类最大值再提交表单数据:(因为此表id字段类型为mediumint所以写上其最大值) 上述操作之后再往数据库添加数据就会报错,因为 id 已经是该类型
thinkphp 表单令牌使用
slpond的博客
01-09 3881
(适用于thinkphp3.2,能在下图中找到红线文件) 一、配置文件 在conf文件夹下配置两个文件 1)config.php   <?php return array( 'TOKEN_ON' => true, // 是否开启令牌验证 默认关闭 'TOKEN_NAME' => '__hash__', // 令牌验证表单隐藏字
ThinkPHP3.2.3框架文件上传全解析
"TP3.2.3框架文件上传操作实例详解,详细分析了thinkPHP3.2.3框架的文件上传原理、实现方法和注意事项,提供实例供参考。" 在ThinkPHP 3.2.3(简称TP3.2.3)框架中,文件上传是常见的功能之一,适用于诸如用户头像...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值