php referer 验证,对$_SERVER['HTTP_REFERER']验证表单来源的一点看法

最新推荐文章于 2022-05-28 17:17:32 发布
最新推荐文章于 2022-05-28 17:17:32 发布
阅读量557 收藏
点赞数
文章标签: php referer 验证

《PHP5与MYSQL5 web开发技术详解》一书的第五章,“处理用户输入”中提到,可以依靠验证$_SERVER[‘HTTP_REFERER’]来提高表单的安全性,对此我来谈谈自己的看法。

原书中说道,PHP的$_SERVER服务器超级全局数组提供了一个叫$_SERVER[‘HTTP_REFERER’]的变量,用于保存上一页的来源,比如表单提交或者超级链接的URL地址。如果有人从他的计算机中提交表单或从浏览器地址中直接输入当前脚本名称,该变量会保存表单来源或为空值,这样我们就可以通过它的值进行处理。

但事实上,$_SERVER[‘HTTP_REFERER’]这个变量其实是由浏览器端提供的,这个变量的值能否取到以及是否正确,其实是由浏览器决定。Web连接是不保持状态的,所有网页信息从服务器上下载到本地,再由本地提交到服务器,因此从本地篡改$_SERVER[‘HTTP_REFERER’]的内容完全是可行的。而且在许多情况下,$_SERVER[‘HTTP_REFERER’]是取不到值的,比如访问经JavaScript产生的链接、访问Flash中的链接、用meta进行跳转时等情况,而且有些客户端(浏览器)甚至会完全没有设置这个变量。

因此,我认为用$_SERVER[‘HTTP_REFERER’]验证表单来源从而提高安全性的做法没有意义。这种做法甚至连“轻量级”都算不上,完全是在浪费资源。提高表单安全性,还是应该强调对表单数据的验证。

谁不言
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
$_SERVER['HTTP_REFERER']的使用
weixin_30708329的博客
09-28 2145
转载:http://www.5idev.com/p-php_server_http_referer.shtml 使用 $_SERVER['HTTP_REFERER'] 将很容易得到链接到当前页面的前一页面的地址。一个例子如下: index.php(实际地址为:http://www.5idev.com/php/index.php): <a href="test.php">链接&lt...
java springboot 通过Referer防止跨站点请求伪造
qq_44154912的博客
10-21 3989
防止跨站点请求伪造 获取 referer 为null, 无法获取 referer 导致过滤失败
$_SERVER中的HTTP_REFERER参数的用法
qq_36627117的博客
06-10 3353
转自:https://blog.csdn.net/u011250882/article/details/49679535引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERERphp文档中的描述如下:“引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改&n...
php $_SERVER['HTTP_REFERER']获取上一个页面的URL地址
热门推荐
ronzone的博客
03-27 1万+
php获取上一个页面的地址可以使用$_SERVER["HTTP_REFERER"]变量,$_SERVERphp中的环境变量,本文章向大家介绍$_SERVER["HTTP_REFERER"]的使用方法和实例,需要的朋友可以参考一下。 php $_SERVER["HTTP_REFERER"]变量可以获取上一个或前一个页面的URL地址。比如有一个a.php页面,这个页面上有一个链接指向b.php页面,
[PHP]如何防止用户从地址栏直接访问后台页面
virus026的专栏
12-02 9281
PHP $_SERVER['HTTP_REFERER'] 使用 $_SERVER['HTTP_REFERER'] 将很容易得到链接到当前页面的前一页面的地址。一个例子如下: index.php(实际地址为:http://www.5idev.com/php/index.php): 链接 test.php(实际地址为:http://www.5idev.com/php/test.p
PHP中的$_SERVER["HTTP_REFERER"]用法浅谈
听说的专栏
05-10 9693
大家知道$_SERVER['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REFE
php防盗链验证实现方法 <font color=red>原创</font>
10-21
本文将详细介绍如何使用PHP通过检查`HTTP_REFERER`头来验证请求来源,从而防止非本地URL的访问。 `HTTP_REFERER`是HTTP协议头部的一个字段,它记录了用户是从哪个页面点击链接到达当前页面的。虽然这个字段不是强制...
PHP防止跨域提交
01-20
 $sub_from=$_SERVER[“HTTP_REFERER”];//链接到当前页面的前一页面的 URL 地址 $sub_len=strlen($servername);//统计服务器的名字长度。 $checkfrom=substr($sub_from,7,$sub_len);//截取提交到
PHP获取及判断提交来源的方法
12-19
首先,我们可以使用`$_SERVER`全局数组中的`HTTP_REFERER`变量来获取上一个页面的URL。`$_SERVER`是一个预定义的数组,包含了诸如HTTP头信息、脚本位置、服务器变量等信息。`HTTP_REFERER`字段存储了用户浏览器在...
php获取地址栏信息的代码
10-30
- 对`$_SERVER['PHP_SELF']`和`$_SERVER['HTTP_REFERER']`的值进行过滤和验证,防止恶意输入。 - 使用安全函数(如`htmlspecialchars()`)处理查询字符串中的数据,防止XSS攻击。 - 在使用`$_SERVER['HTTP_HOST']`...
PHP网站开发中常用的8个小技巧_.docx
10-09
例如,`Header("Location: ".$_SERVER["HTTP_REFERER"]);`会将用户重定向回他们之前访问的页面。 5. **PHP超全局对象**: `$GLOBALS`数组包含了所有全局变量,无论它们在何处被定义。在函数内部,如果你想访问或...
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5510
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证Referer”头的值,并对每个提交的使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
安全扫描漏洞解决
球球的博客
05-24 7392
Appscan漏洞已解密的登录请求 该漏洞,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息; 整改方案: 1.对于用户名和密码等敏感信息,字段名匿名, 字段内容行非对公私钥加密处理; 2.采用post请求; 3.启用https协议; SQL注入漏洞 在系统部分url处存在该漏洞,该漏洞可能会查看、修改或删除数据库条目和; 整改方案: 1.请求参数进行过滤一些非法的...
PHP $_SERVER['HTTP_REFERER'] 无效
little_spice的博客
05-12 3907
学到PHP的超级全局变量时,遇到了PHP $_SERVER['HTTP_REFERER'],不料在phpstorm中运行的到如下结果: <?php $x=5; $y=10; function addtion(){ $GLOBALS["z"]=$GLOBALS["x"]+$GLOBALS["y"];/** $GLOBALS 是PHP的一个超级全局变量组,在一个PHP脚本的全部作用...
DedeCMS_V5.8.1 ShowMsg 模板注入远程代码执行漏洞分析
None安全团队
10-29 1007
楔子 晚上在Srcincite上面看到了国外发布的DedeCMS_V5.8.1前台任意未授权命令执行,一时兴起就下下来分析了一波,自己也比较菜,有些点可能都说的不是很明白,其实这洞蛮简的,有点类似于以前那个dz的前台代码执行,在写入临时tpl缓存文件的时候,缓存内容中存在可控的函数且使用了include进行包含,导致我们可以写入任意代码,造成代码执行,话不多说直接进入正题,漏洞主要是由于include\common.func.php中定义的ShowMsg参数导致的,任何文件存在调用ShowMsg的情况下
php httpreferer,php中HTTP_REFERER函数用法实例
weixin_39575007的博客
03-10 880
这篇文章主要介绍了php中HTTP_REFERER函数用法,以实例的形式分别讲述了判断用户来路与伪造来路地址等应用,需要的朋友可以参考下本文实例分析了php中HTTP_REFERER函数用法。分享给大家供大家参考。具体分析如下:利用php的http_referer函数来判断用户的来路,这是比较简的,实例代码如下:复制代码 代码如下:if (isset($_SERVER['HTTP_REFERER...
php获取 referer判断来路防止非法访问
we
05-28 1439
PHP中的 $_SERVER["HTTP_REFERER"] 预定义服务器变量可以判断来路。 $_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址。 一般用于判断浏览者是从哪里点击链接跳到本页面的,即所说的来路,还可以通过判断来路来防止盗链。 例如 <?php $url_array = parse_url($_SESSION['HTTP_REFERER']); //如果页面的域名不是服务器域名,就连接
php httpreferer,PHP中的$_SERVER["HTTP_REFERER"]用法浅谈
weixin_39545269的博客
03-10 156
大家知道$_SESSION['HTTP_REFERER']可以获取当前链接的上一个连接的来源地址,即链接到当前页面的前一页面的 URL 地址,可以做到防盗链作用,只有点击超链接(即) 打开的页面才有HTTP_REFERER环境变量, 其它如 window.open()、 window.location=...、window.showModelessDialog()等打开的窗口都没有HTTP_REF...
除了这些数据还可以获取哪些数据:$ip = $_SERVER['REMOTE_ADDR']; $time = date("Y-m-d H:i:s"); $url = $_SERVER['REQUEST_URI']; $referrer = $_SERVER['HTTP_REFERER'];
最新发布
06-03
3. 数据:可以获取用户在你的网站上填写的数据,例如联系等。 4. 文件上传数据:可以获取用户上传的文件信息。 5. 数据库记录:可以获取用户在你的网站上的活动信息,如登录、页面浏览记录等。 6. 地理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值