php mysql可以跨站_PHP_php中防止伪造跨站请求的小招式,伪造跨站请求介绍   伪造跨 - phpStudy...

最新推荐文章于 2022-11-20 23:59:59 发布
最新推荐文章于 2022-11-20 23:59:59 发布
阅读量126 收藏
点赞数
文章标签: php mysql可以跨站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32281549/article/details/114355593
版权

php中防止伪造跨站请求的小招式

伪造跨站请求介绍

伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的表现形式有:

伪造链接,引诱用户点击,或是让用户在不知情的情况下访问

伪造表单,引诱用户提交。表单可以是隐藏的,用图片或链接的形式伪装。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。

随机串代码实现

咱们按照这个思路,山寨一个crumb的实现,代码如下:

复制代码 代码如下:

class Crumb {

CONST SALT = "your-secret-salt";

static $ttl = 7200;

static public function challenge($data) {

return hash_hmac('md5', $data, self::SALT);

}

static public function issueCrumb($uid, $action = -1) {

$i = ceil(time() / self::$ttl);

return substr(self::challenge($i . $action . $uid), -12, 10);

}

static public function verifyCrumb($uid, $crumb, $action = -1) {

$i = ceil(time() / self::$ttl);

if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||

substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)

return true;

return false;

}

}

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单

在表单中插入一个隐藏的随机串crumb

复制代码 代码如下:

处理表单 demo.php

对crumb进行检查

复制代码 代码如下:

if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {

//按照正常流程处理表单

} else {

//crumb校验失败,错误提示流程

}

?>相关阅读:

将阿拉伯数字转换为汉字数字,支持到百万亿

验证用户是否修改过页面的数据的实现方法

js 全兼容可高亮二级缓冲折叠菜单

Javascript在IE和FF里的兼容问题

基于json的jquery地区联动效果代码

FF下zoom的替代方案 单位em

js textarea自动增高并隐藏滚动条

一个正则的写法 php

Oracle启动但不能登录故障解决方法

Ajax初试之读取数据篇实现代码

在Vista、Win7下联网玩QQ对战平台、浩方、帝国时代2

Shell学习:关于替换命令-tr-ROT13法则

完全卸载MySQL数据库5.0的具体方法

php getsiteurl()函数

悅目
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何禁止PHP脚本目录
weixin_54963682的博客
03-14 554
如何禁止PHP脚本目录 前言 在一些渗透测试遇到的环境,有的时候我们会发现shell所能访问的目录非常有限,可能只有当前网的一个根路径,当我们需要从旁拿目标点的shell时往往被局限于此。这篇文章就是研究下php的防目录的一个安全配置。 现在网络上大部分php的环境是lamp或者lnmp,那么防止目录的方式大致分为两类:间件的配置、php.ini的配置。本文将对这两种方法来进行讲解。 间件 我们首先先从间件的层面来看这个问题。 apache 阿帕奇是比较成熟的间件,我们可以
PHP安全编程:请求伪造CSRF的防御(转)
weixin_33847182的博客
07-29 186
请求伪造(CSRF)是一种允许攻击者通过受害者发送任意HTTP请求的一类攻击方法。此处所指的受害者是一个不知情的同谋,所有的伪造请求都由他发起,而不是攻击者。这样,很你就很难确定哪些请求是属于请求伪造攻击。事实上,如果没有对请求伪造攻击进行特意防范的话,你的应用很有可能是有漏洞的。 请看下面一个简单的应用,它允许用户购买钢笔或铅笔。界面上包含下面的表单: 0...
Linux系统下Apache日志文件设置、更改默认网目录、防止php***设置、禁止空主机头...
weixin_33858485的博客
12-08 190
CentOSLinux系统下apache日志文件设置(每天单独生成一个日志文件)引言:Apache默认安装下,日志记录只有一个文件,时间久了之后,这个文件会变的很大,管理员要想查看分析日志,光打开日志就要花费很长时间,甚至还会影响服务器运行。下面设置apache让服务器每天单独生成一个日志文件,这样管理、分析日志会方便很多。#########################...
PHPStudy部署TP5项目
qq_30504943的博客
05-09 2172
近来使用PHPStudy来部署TP5项目时碰到了一些问题,好在全部解决了,在此总结一下问题的解决方法 1.部署之后无法访问,出现以下错误 看到这个报错信息后我第一时间去检查了public目录下的启动文件,发现并没有问题,然后就开始翻博客,最终解决方法如下 关闭此处的防攻击 关闭后成功进入了首页,马上,第二个问题又出现了 2.除了首页之外,其他页面全部404无法访问 在这里将解决方法贴出来 TP5默认是有.htaccess文件的,在使用winscp等软件上传时该文件可能会丢失,我碰到
【nginx】如何在phpstudy的nginx配置解决域问题?(windows版巨简单)
cherry_boat的博客
11-20 2833
我就喜欢用phpstudy,毕竟简单啊哈哈哈
php5.6.9可用yaf扩展下载phpstudy小皮面板php_yaf.dll
12-26
php_yaf.dll放置于phpstudyPHP路径下。 D:\phpstudy_pro\Extensions\php\5.6.9nts\ext 如果没有就看一下php.ini里有没有yaf 如果没有在最下方加上extension=php_yaf.dll
PHP、Apache环境部署xsslabs(XSS脚本攻击靶场)
01-08
PHP、Apache环境部署xsslabs(XSS脚本攻击靶场) PHP与Apache环境部署xsslabs(XSS脚本攻击靶场)是开发者和安全测试人员进行XSS攻击练习的重要环境。xsslabs是一款开源的XSS 漏洞靶场工具,由PHP代码...
php7.3.4可用yaf扩展下载phpstudy小皮面板php_yaf.dll(亲测100%可用)
04-09
安装说明: 把php_yaf.dll放置于phpstudy小皮面板PHP路径下。 例如D:\phpstudy_pro\Extensions\php\php7.3.4nts\ext 在小皮面板,网—管理—php扩展—选择yaf 或者在php.ini手动加上extension=yaf
php5.2.17nts_phpstudy.zip
05-05
phpstudy搭建PHPweb网后,登陆后台时出现乱码的问题,直接解压后,先停止phpstudy的服务,然后复制到D:\phpstudy_pro\Extensions\php\php5.2.17nts里边即可,有提示的话一定要覆盖!
php-7.4.20-nts.zip(phpstudy2016)
07-28
描述的"phpstudy2016"是PHPStudy的2016年版本,这是一个流行的Windows平台上的PHP开发和测试工具,它集成了多种PHP版本以及Web服务器,使得开发者可以轻松切换不同PHP版本,进行兼容性测试或适应不同的项目需求。...
服务器装系统出现bug,使用phpstudy无法本地安装,途出现#500服务器错误!
weixin_32973973的博客
08-13 2276
Request URL:http://www.shop.com/index.php?s=/install/index/add.htmlRequest Method:POSTStatus Code:500 Internal Server ErrorRemote Address:127.0.0.1:80Referrer Policy:no-referrer-when-downgradeResponse...
php关闭防,PHP防止和xss攻击代码
weixin_42100188的博客
03-13 755
文档说明:1.将waf.php传到要包含的文件的目录2.在页面加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码1require_once('waf.php');就可以做到页面防注入、如果想整防注,就在网的一个公用文件,如数据库链接文件config.inc.php!添加require_once('waf.php');来调用本代码常用php系统添加文件PHPCM...
php设置,php配置防、防目录安全
weixin_31180441的博客
03-09 813
php配置防、防目录安全现在很多网都是采用php,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防、防目录等一些设置,可以有效的防止服务器上所有的php被恶意篡改。适用范围及演示系统适用范围:php5.3及以上版本演示系统:centos防、防目录安全设置方法第1步:登录到linux系统...
[科普]如何防止点脚本攻击
iiiiiiiiiiii9的专栏
01-19 1713
1. 简介点脚本(XSS)是当前web应用最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网,包括Google, Facebook, Amazon, PayPal等网都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免脚本,浏览器也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。这种漏洞(XSS)通常用于发动cookie窃取、恶意软
php open basedir设置防止
xuejinliang的专栏
02-03 2839
通过在网挂马,进入到PHP的目录,如果PHP打开了scandir方法的话,可以直接通过目录一级一级的像上面进入,此操作会造成很大的风险。 下面给出PHP的木马文件   //ini_set('display_errors',1);   @error_reporting(7);   @session_start();   @set_time_limit(0);   @set
php.ini安全配置禁用危险函数open_basedir防止目录
赵一舟的博客
01-29 7153
disable_functions = phpinfo,chroot,chown,chmod,system,shell_exec,passthru,exec,assert,pcntl_exec,proc_open,``,phpfunc,proc_get_status,chgrp,popen,get_cfg_var ; ###################### 禁用的危险函数 BEGIN ###...
win10上使用phpstudy无法设置事物隔离等级
u013965752的博客
05-24 233
环境描述:在win10上使用phpstudy——2018快速搭建mysql环境,打开MySQL命令行。 错误描述:设置全局环境变量事物级别为读为提交,命令成功,结果是失败的。把数据库engine设置为innodb也不行。 原因猜测:这数据库缩水的吧? ...
被攻击怎么处理 phpstudy存在后门漏洞
网站安全专家
09-27 3564
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网安全,以及服务器的安全稳定运行。关于该漏洞的详...
- D:\phpstudy_pro\Extensions\php\php7.3.4nts\php.ini
最新发布
08-18
引用和引用提供了关于在phpstudy安装php扩展的指南。根据这些指南,你可以将php_yaf.dll文件放置在phpstudyPHP路径下,在php.ini文件手动添加extension=yaf的配置。具体来说,你可以将php_yaf.dll文件复制到D:\phpstudy_pro\Extensions\php\php7.3.4nts\ext路径下,并在php.ini文件添加extension=yaf配置项。这样就可以在phpstudy的面板启用yaf扩展了。引用则提供了一个可能导致问题的原因,即项目使用的php版本与cmd的版本不兼容。你可以通过检查项目使用的php版本是否与phpstudy的版本一致来确认这一点。如果版本不一致,可以在phpstudy切换php版本或者调整项目的php版本。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云服务下安装Composer时出现 错误:添加到用户路径:C:/phpStudy/Extensions/php/php7.3.4nts 安装无法...](https://blog.csdn.net/qq_42345116/article/details/122595160)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [php7.3.4可用yaf扩展下载phpstudy小皮面板php_yaf.dll(亲测100%可用)](https://download.csdn.net/download/lingyun820/16593737)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [执行php命令行出现 Failed loading D:\phpStudy\php\php7.3.4nts\ext\php_xdebug.dll](https://blog.csdn.net/weixin_42079053/article/details/105618234)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值