如何防止通过CURL频繁提交请求,后端处理

最新推荐文章于 2024-04-26 20:29:40 发布
最新推荐文章于 2024-04-26 20:29:40 发布
阅读量1.3k 收藏 1
点赞数
文章标签: 后端 php 前端 ViewUI
原文链接:https://my.oschina.net/lockupme/blog/673544
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

今天一个同事,对现有的项目做了一个测试,发现一个很严重的Bug。正常登录进来后,复制完整的cookie值,(我们是用cookie加密进行会话的)
来进行curl模拟其它操作,频繁的插入操作,最终导致表数据量大。

他和说我,对该表数据做一个最大条数限制。对于需求固定的来话,这是一个解决方法。对连续变动变态需求,这些方法往往不行。

这里先不说前端的防护,最终还是要归到后端处理检测。

最终想了个办法,

第一层防护
先给各个模块下的异步请求,做全局限制,只要是ajax异步请求的,才可以访问我们的功能方法。我们的代码结构是按各个功能模块,独自创建异步控制器,如用户模板,可能这样的“UserAjax.class.php”;
这样,我们可以在析构方法里添加一个方法。


public function __construct() {
	parent::__construct ();
	$this->common->isAjax();
}

假设isAjax在common通用方法中:

public function isAjax() {
	if (!isset($_SERVER['HTTP_X_REQUESTED_WITH'])) {
		$this->jsonmsg(array('code' => 0, 'msg' => '非法请求'));
	}
}

第二层防护:
对每个请求频率做限制,这个要写一下方法。方法的思路是这样的,对每个请求的IP进行会话保存,存储会话时间戳,再检验时间内规定的请求次数。
下面的方法同样写在common通用方法类中

a、获取IP

public function getIp() {
	if (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
		$ip = getenv('REMOTE_ADDR');
	} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
		$ip = $_SERVER['REMOTE_ADDR'];
	} elseif (getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
		$ip = getenv('HTTP_CLIENT_IP');
	} elseif (getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
		$ip = getenv('HTTP_X_FORWARDED_FOR');
	}
	$tmpIp = filter_var($ip, FILTER_VALIDATE_IP);
	$ip = $tmpIp ? $tmpIp : 'unknown';
	return $ip;
}

b、检测时间内请求次数,详情见方法注释

public function checkRequestNumber() {
	//获取IP
	$ip = $this->getIp();
	//请求会话的URI,组合后进行md5加密,因为我们通常一个请求,通过不同的参数调用不同的业务逻辑
	//如ajax_user?op=checkEmail,checkUsername	
	$key = md5($_SERVER['REQUEST_URI'].$_REQUEST['op']);
	
	$errMsg = '提交过于频繁,请稍后再试吧!';
	//IP时间栈数组
	if (!is_array($_SESSION[$ip][$key])) {
		$_SESSION[$ip][$key] = array();
	}
	
	if (isset($_SESSION[$ip][$key][0])) {
		$_SESSION[$ip][$key][] = time();
	
		//session保存时间为60秒,清空session
		$requestFir = time() - $_SESSION[$ip][$key][0];
		if ($requestFir > 60) {
			$_SESSION[$ip][$key] = array();
		}
		
		//两次提交小于1s禁止提交
		$requestSec = time() - $_SESSION[$ip][$key][count($_SESSION[$ip][$key]) - 3];
		if ($requestSec < 1) {
			$this->jsonmsg(array('code' => 0, 'msg' => $errMsg . 1));
		};
		
		//您在10s内已经提交了3请求,禁止提交
		$requestThi = time() - $_SESSION[$ip][$key][count($_SESSION[$ip][$key]) - 3];
		if (isset($_SESSION[$ip][$key][3]) && ($requestThi < 10)) {
			$this->jsonmsg(array('code' => 0, 'msg' => $errMsg . 2));
		}
		
		//您在1分钟期间已经提交了5请求,禁止提交
		$requestFif = time() - $_SESSION[$ip][$key][count($_SESSION[$ip][$key]) - 3];
		if (isset($_SESSION[$ip][$key][5]) && ($requestFif < 60)) {
			$this->jsonmsg(array('code' => 0, 'msg' => $errMsg . 3));
		}
	} else {
		$_SESSION[$ip][$key][] = time();	
	}
}

在基类中调用 checkRequestNumber(),代码如下:

if (isset($_SERVER['HTTP_X_REQUESTED_WITH'])) {
	$common->checkRequestNumber();
}

最后,你也可以对请求频繁的加图片验证码,提示用户操作请求频繁~

 

附上同事请求的CURL模拟小方法:

echo post();

function post($url = 'http://www.test.com/ajax_user', $post_data = '', $timeout = 5){

	$post_data = 'email='.mt_rand(10000,99999999).'@qq.com&op=addemail';
	$cookie = '........';
	$ch = curl_init();
	curl_setopt ($ch, CURLOPT_URL, $url);
	curl_setopt ($ch, CURLOPT_POST, 1);
	curl_setopt ($ch, CURLOPT_COOKIE, $cookie);
	if($post_data != ''){
		curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
	}
	curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
	curl_setopt ($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
	curl_setopt($ch, CURLOPT_HEADER, false);
	$file_contents = curl_exec($ch);
	curl_close($ch);
	return $file_contents;
}

 

转载于:https://my.oschina.net/lockupme/blog/673544

weixin_34148340
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux shell中curl 发送post请求json格式问题的处理方法
09-15
主要介绍了linux shell中curl 发送post请求json格式问题的处理方法,文中给大家提到了linux中使用curl发送post请求问题,需要的朋友可以参考下
curl库,用于c语言后端发起http请求
02-22
bin brotli curl gsasl-mech.h gsasl-version.h gsasl.h libssh2.h libssh2_publickey.h libssh2_sftp.h nghttp2 nghttp3 ngtcp2 openssl zconf.h zdict.h zlib.h zstd.h zstd_errors.h curl-x64.dll curl-x64.lib libbrotlicommon.a libbrotlidec.a libcrypto.a libcurl-x64.dll libcurl-x64_1.dll libcurl.a libcurl.dll.a libgsasl.a libnghttp2.a libnghttp3.a libngtcp2.a libngtcp2_crypto_openssl.a libssh2.a libz.a libzstd.a
php curl多次,使用curl_multi多次将php卷曲到相同的api
weixin_42318727的博客
03-22 216
我有一个API,我用不同的信息同时调用至少10次。这是我当前使用的功能。$mh = curl_multi_init();$arr = array();$rows = array();while ($row = mysqli_fetch_array($query)) {array_push($arr, initiate_curl($row, $mh));array_push($rows, $row)...
网页请求复制为curl,然后导入postman调用
蜂蜜柚子茶
04-16 8146
一、复制为curl 我使用的是谷歌浏览器,首先按F12进入开发者模式,点击Network查看网络请求 然后右击请求 -> copy -> Copy as cURL(bash) 然后会复制到如下内容 二、导入postman 首先打开postman,点击import 之后会弹框,选择弹框中的Raw text,将复制内容复制到下方,然后点击continue 然后点击import即可导入 之后就可以使用postman调用啦 ...
【2020-11-02】分享一个爬虫小工具,提高你的工作效率
骑毛驴的猴的博客
11-02 1240
文章目录前言二、地址https://curl.trillworks.com/三、用法3.1这里以有道翻译为例,右键链接>copy>copy as curl(bash)3.2 黏贴到上面的网站,右侧方框会自动填充requests请求总结 前言 我们在编写爬虫代码的时候,都需要去请求链接,有事还需要一连串的参数,这时候我们是不可能一个一个手打上去的,这次就分享一个快速解析请求的小工具 二、地址 https://curl.trillworks.com/ 三、用法 3.1这里以有道翻译为例,右键.
curl连续请求页面卡死解决办法
编程爱好者之家
11-23 6520
今天项目中遇到一个问题就是在后台用curl请求数据,连续请求url链接后页面会卡死502错误,最后解决办法是在 curl请求方法中加了CURLOPT_TIMEOUT就可以了,这样如果超出设置时间不影响页面其他的请求,到了设置时间请求也会停止 curl方法如下: function get_request($url){     //初始化     $ch = curl_init();     c...
如何防止别人用curl直接调用接口_使用PHP对接国外的PAYPAL支付最新REST API接口。...
weixin_39962889的博客
01-24 594
PayPal是一个第三方支付系统,类似于我国的支付宝。PayPal于1998年12月建立,总部在美国加利福尼亚州圣荷塞市。2002年,PayPal在纳斯达克首次上市,随后被eBay收购。 PayPal也和一些电子商务网站合作,成为它们的货款支付方式之一。但是用这种支付方式转账时,PayPal收取一定数额的手续费。 由于客户网站对国外用户也需要友好支持,所以需要支持国...
curl无法访问http/https的解决方法
WorldMvp的专栏
11-15 8334
今天遇到一个奇怪的事情,curl无法访问http/https url地址,但是postman可以调用,浏览器也可以访问。如下所示: 仔细看了下curl -v的返回值,发现请求的是本地IP和端口,推测可能有http代理进程干扰。于是,顺藤摸瓜,查询下是否有进程占用这个端口,使用命令如下: $ netstat -a | grep 8123 结果如下所示: 确实是有进程占用这个端口,使...
linux下最全curl命令使用方式学习和拓展
小杨互联网
09-14 3064
curl命令可以帮助我们在linux服务内部通讯,排查接口是否能够正确调用,外网的接口是否有防火墙限制,内网的请求可以快速帮我们获取接口参数返回,并且调试程序代码,在局域网,或者内网的时候只能在内网调试,这个时候curl命令足以支持我们完成所有调试和测试。看过我自己写的请求,只是基础使用,具体的方式都在curl官网,教程操作文档很全,我介绍了我们常用使用curl的方式,当然还有证书,代理,其他协议的使用,感兴趣的可以自己去官网研究下,curl支持脚本方式调用,不仅仅支持xshell脚本,还有代码。
php curl批量请求url
02-26
curl get 批量请求url,并获得返回结果 PS:注意这种特别容易触发对方接口的并发,用的时候一定要比对下,批量请求与单次请求的集合是否完全一致
Python3模拟curl发送post请求操作示例
09-19
主要介绍了Python3模拟curl发送post请求操作,结合实例形式分析了Python3使用Request请求模拟curl发送post相关操作技巧,需要的朋友可以参考下
通过curl模拟post和get方式提交的表单类
10-26
写了个简单的脚本通过curl的方式模拟表单提交。可以通过数组和字符串两种方式提交数据,需要的朋友可以参考下
云架构(五)BBF模式
OrPis的专栏
04-20 787
BFF模式(Backends for Frontends pattern)-创建单独的后台服务用以提供给特定的前端或者接口。当你希望避免为多个接口定制单独的后台时,此模式非常有用。这个模式最开始由Sam Newman提出。
【使用 SLF4J 进行日志记录】
武帝为此的博客
04-22 462
日志记录以帮助跟踪应用程序的行为,排查问题,并改进性能。SLF4J(Simple Logging Facade for Java)是一个用于 Java 应用程序的简单日志记录框架,它提供了一种统一的方式来记录日志,同时允许在后端使用不同的日志实现。SLF4J 是一种日志门面(logging facade),它的主要目标是提供一个统一的日志记录接口,而不绑定到特定的日志实现。可以在应用程序中使用 SLF4J 记录日志,而后端的日志实现可以根据需要进行更改,而无需修改应用程序代码。
03 后端入参校验:自定义注解实现
Eyesmoon的博客
04-26 309
03 后端入参校验:自定义注解实现
没有文件服务器,头像存哪里合适
大菜的博客
04-25 468
之前有同学私信我说,他的项目只是想存个头像,没有别的文件存储需求,不想去用什么Fastdfs之类的方案搭建文件服务器,有没有更简单且无需后期维护的方案,我喝了一口过期的开水,想了下,还真有,现在就给大家介绍一下。这个方案就是把头像存在表里,但是要切记,不要存大图,否则会严重影响数据库性能,怎么确保这一点呢,其实只要对上传的图片转成缩略图就可以保证存进去的是小图,这样的话这个方案就比较完美了。
面试题:判断一个完全平方数
最新发布
Faya__的博客
04-26 326
最后给大家推荐一个LinuxC/C++高级架构系统教程的学习资源与课程,可以帮助你有方向、更细致地学习C/C++后端开发,具体内容请见 https://xxetb.xetslk.com/s/1o04uB。一个数如果是完全平方数,那么它除以 4 的余数只能是 0 或 1。换句话说,完全平方数在模 4 意义下等于 0 或 1。这些方法不能让我们判断是否是完全平方数,但是可以辅助我们判断或者找到不是完全平方数的数字。一个数如果是完全平方数,它除以 16 的余数必须是 0, 1, 4, 或 9。
vue+element 树形结构 改成懒加载模式(原理element有),这里只做个人理解笔记
xu_duo_i的博客
04-25 251
vue+element 树形结构 改成懒加载模式(原理element有),这里只做个人理解笔记
使用curl提交post请求,java 后端post请求接口怎么写?
01-11
使用curl提交POST请求的示例命令如下: ```shell curl -X POST -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}' http://localhost:8080/api/endpoint ``` 其中,`-X POST`表示使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值