php接口签名规则防伪造,PHP防止被重复请求接口的方法(网页端签名验证的方法)...

最新推荐文章于 2024-07-10 19:13:53 发布
最新推荐文章于 2024-07-10 19:13:53 发布
阅读量252 收藏
点赞数
文章标签: php接口签名规则防伪造

PHP防止被重复请求接口的方法(网页端签名验证的方法)

可以采取签名验证的方式来 解决这个问题

1 time和随机数都是PHP生成的显示在前端

2 前端生成sign

3 进行每次请求的sign计数 这个是时候用redis自增 来判断一共用了10次以上就返回 请重新刷新页面

所以参数一定要静态 比方说根据可以学习微信jssdk 用appid time 随机数生成 这个必须每次刷新才能更新

 
 
/
 
 
function getsigns()
 
 
{
 
 
$parameters = array();
 
 
$parameters[‘suijishu‘] = getRandom(10, 5);
 
 
$parameters[‘time‘] = time();
 
 
$sign = str_encrypt($parameters);
 
 
$newpar[‘suijishu‘]=$parameters[‘suijishu‘];
 
 
$newpar[‘time‘]=$parameters[‘time‘];
 
 
$newpar[‘sign‘]=$sign;
 
 
return $newpar;
 
 
}
 
 
//新版加密
 
 
function str_encrypt($parameters)
 
 
{
 
 
unset($parameters[‘sign‘]);
 
 
ksort($parameters);
 
 
$parameters[‘key‘]=‘myk22‘;
 
 
$signPars = url_build($parameters);
 
 
$signPars = trim($signPars, ‘&‘);
 
 
return strtolower(md5($signPars));
 
 
}
 
 
//新版字符串拼接
 
 
function url_build($parameters)
 
 
{
 
 
$signPars = ‘‘;
 
 
foreach ($parameters as $k => $v) {
 
 
if (isset($v)) {
 
 
$signPars .= $k . ‘=‘ . $v . ‘&‘;
 
 
}
 
 
}
 
 
return $signPars;
 
 
}
 
 
客户端 post的3个参数都是上面getsigns()生成的
 
 
 
 
function ajaxpost() {
 
 
$.post("/home/moban/signtest", {
 
 
"suijishu":suijishu,
 
 
"time":time,
 
 
"sign":sign,
 
 
},
 
 
function (data) {
 
 
if(data.success==1){
 
 
}else {
 
 
alert(‘网络繁忙‘);
 
 
}
 
 
}, "json");
 
 
}
 
 
服务端
 
 
 
 
function verifys(){
 
 
$parameters[‘suijishu‘]=$_POST[‘suijishu‘];
 
 
$parameters[‘time‘]=$_POST[‘time‘];
 
 
$parameters[‘sign‘]=$_POST[‘sign‘];
 
 
if(!verify($parameters)){
 
 
echo json_encode(array(‘success‘=>0,‘msg‘=>‘验证签名失败‘));
 
 
exit();
 
 
}
 
 
}
 
 
验证下就好了
 
 
ps:另外 不要js生成sign 因为js代码都是暴露的 也不要通过ajax请求生成sign 这样就没意思了。。
 
 
2 采取验证码方式
 
 
原文:https://www.cnblogs.com/newmiracle/p/11872516.html
 


                

        

        




    

  


    

      

        

            

              
                
                  有赞技术团队
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
php 防止脚本重复执行

				
			

			

				

					11-22
				

			

		

		

			
				
ScriptLock 类来统一控制脚本,防止脚本重复执行
Config 配置的是 {lock}.pid文件的路径和log的路径
其中要说明下的是$orderno 是执行该脚本时的一个表示
2011-11-22 19:05:00     1321959900      /var/www/script/crontab/dk/event/online_time/count.php          script run begin
2011-11-22 19:07:14     1321960034      /var/www/script/crontab/dk/event/online_time/count.php          script had runed
2011-11-22 19:07:53     1321960073      /var/www/script/crontab/dk/event/online_time/count.php          script had runed
2011-11-22 19:12:19     1321959900      /var/www/script/crontab/dk/event/online_time/count.php          script run end

1321959900      这个说明是同一个脚本的执行

			
		

	



                

              
                



	

		

			

				
					
php 防止重复请求,php防止post提交重复数据

				
			

			

				

					weixin_29920697的博客
				

				

					03-11
					
					451
					
				

			

		

		

			
				
重复提交数据我们在应用中经常会碰到了,今天我给各位介绍利用session来防止用户不小心重复提交数据的一个例子原理非常的简单:就是用session在表单页面记录下,然后提交页面判断,如果相等则视为成功,并清空session例子        代码如下  复制代码          //开启sessionsession_start();//如果有提交标识if(isset($_GET['action...

			
		

	



                


  
              

                


	

		

			

				
					
php页面重复提交方法总结

				
			

			

				

					12-19
				

			

		

		

			
				
1、提交按钮置disabled
      当用户提交后,立即把按钮置为不可用状态。这种用js来实现。
         提交前复制代码 代码如下:        $(“#submit”).attr(‘disabled’,’true’);         $(“#submit”).val(“正在提交,请稍等”); 
       …………………………………………………………………………
    执行后,把按钮置为原来状态
复制代码 代码如下:      $(‘#submit ‘).removeAttr(‘disabled’);      $(“#submit “).val(“确定提交”);2、

			
		

	





	

		

			

				
					
API接口防止参数篡改和重放攻击

					
热门推荐

				
			

			

				

					Little SunShine
				

				

					08-17
					
					1万+
					
				

			

		

		

			
				

API重放攻击(Replay Attacks)又称重播攻击、回放攻击。他的原理就是把之前窃听到的数据原封不动的重新发送给接收方。HTTPS并不能防止这种攻击,虽然传输的数据是经过加密的,窃听者无法得到数据的准确定义,但是可以从请求的接收方地址分析出这些数据的作用。比如用户登录请求时攻击者虽然无法窃听密码,但是却可以截取加密后的口令然后将其重放,从而利用这种方式进行有效的攻击。





所谓重放...

			
		

	



		

			
		



	

		

			

				
					
php 接口安全解决方案,php接口数据安全解决方案(一)

				
			

			

				

					weixin_39756273的博客
				

				

					03-10
					
					169
					
				

			

		

		

			
				
前言目的:1.实现前后代码分离,分布式部署2.利用token替代session实现状态保持,token是有时效性的满足退出登录,token存入redis可以解决不同服务器之间session不同步的问题,满足分布式部署3.利用sign,前按照约定的方式组合加密生成字符串来校验用户传递的参数跟后接收的参数是否一直,保障接口数据传递的安全4.利用nonce,timestamp来保障每次请求的生成s...

			
		

	





	

		

			

				
					
PHP开发API接口签名生成及验证操作示例

				
			

			

				

					10-15
				

			

		

		

			
				
签名验证方法与生成类似,但主要在于比较接收的签名值与重新计算的签名值是否一致。如果一致,说明数据未被篡改;如果不一致,则可能存在安全问题。  以下是PHP代码实现签名生成和验证的示例:  ```php // 设置公钥...

			
		

	





	

		

			

				
					
PHP开发api接口安全验证操作实例详解

				
			

			

				

					10-15
				

			

		

		

			
				
首先,API接口安全验证的基本思路是:客户(通常是前应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器收到请求后,使用相同的算法和信息重新计算签名,若计算...

			
		

	





	

		

			

				
					
基于PHP的某QQ个性签名网整站源码 php版.zip

				
			

			

				

					08-26
				

			

		

		

			
				
4. 用户认证与授权:网站可能包含用户注册、登录系统,需要实现安全的身份验证和权限管理,防止SQL注入等安全问题。  5. 前技术:HTML、CSS和JavaScript是构建用户界面的关键。HTML定义网页结构,CSS负责样式设计...

			
		

	





	

		

			

				
					
PHP中如何防止外部恶意提交调用ajax接口

				
			

			

				

					10-22
				

			

		

		

			
				
6. **请求签名**:  创建一种签名机制,使得每次请求都需要包含一个基于请求参数和服务器共享密钥计算出的签名。服务器验证签名,确保请求未被篡改。  7. **使用HTTPS**:  使用HTTPS协议可以确保数据在传输过程中的...

			
		

	





	

		

			

				
					
防止API请求重复攻击

					
最新发布

				
			

			

				

					21空间的博客
				

				

					07-10
					
					1350
					
				

			

		

		

			
				
在 API 设计中,防止请求重复攻击是确保系统安全性和稳定性的关键部分。以下是一些有效的技术和策略来防止 API 请求重复攻击。

			
		

	





	

		

			

				
					
php表单加入Token防止重复提交的方法分析

				
			

			

				

					10-21
				

			

		

		

			
				
主要介绍了php表单加入Token防止重复提交的方法,结合实例形式分析了Token防止重复提交的原理与使用技巧,需要的朋友可以参考下

			
		

	





	

		

			

				
					
PHP使用Redis实现防止大并发下二次写入的方法

				
			

			

				

					10-19
				

			

		

		

			
				
主要介绍了PHP使用Redis实现防止大并发下二次写入的方法,结合实例形式分析了php使用锁机制实现并发读写redis情况下的读写错误,需要的朋友可以参考下

			
		

	





	

		

			

				
					
php开发中如何防止抓包工具伪造请求

				
			

			

				

					漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
				

				

					04-14
					
					582
					
				

			

		

		

			
				
防止抓包工具伪造请求,采取一系列的技术和策略来增强应用程序的安全性。

			
		

	





	

		

			

				
					
thinkphp中api接口数据安全解决方案之sign检验

				
			

			

				

					荒的博客
				

				

					04-16
					
					722
					
				

			

		

		

			
				
sign签名一般用在服务器之间传输。一般api数据安全使用token验证就行。

			
		

	





	

		

			

				
					
php访问信息签名,PHP API 接口访问之签名验证

				
			

			

				

					weixin_39551996的博客
				

				

					04-02
					
					197
					
				

			

		

		

			
				
设计思路:1、前后商定统一的加密规则;2、后配置文件保存固定的验证字符串;3、对前传的加密sign进行合法性验证、时效验证、唯一性验证;代码如下:1、验证传过来的sign(抛出异常的接口是我自己框架封装的接口,没封装可以改成Exception)/*** Created by PhpStorm.* User: hjx(2896751917@qq.com)* Date: 2019/2/21*...

			
		

	





	

		

			

				
					
【代码】利用php防止用户伪造跨站请求的小技巧

				
			

			

				

					
				

				

					10-10
					
					1702
					
				

			

		

		

			
				
清源教育php开发课程学习培训之php常用的伪造跨站请求介绍

伪造跨站请求比较难以范,而且危险系数很大,恶意攻击者经常通过这种方式进行恶作剧,发spam信息,删除网站数据等等。这种常见的攻击表现形式有:

伪造恶意的链接,诱骗用户去点击,或者让用户在毫无备的情况下访问

伪造提交表单,诱骗用户提交。表单是隐藏类型的,用图片或链接的形式伪装。

比较常见并且最常用的范手段是在

			
		

	





	

		

			

				
					
PHP接口加密

				
			

			

				

					太阳上的雨天
				

				

					11-15
					
					6522
					
				

			

		

		

			
				
在工作中PHP接口开发是PHP常见的技术,通过对接口进行一些操作,可以访问接口获取数据,给app/前提供数据接口等,如果接口没有加密,很容易发生盗用和不安全的操作.下面介绍一下常见的接口加密方法。



一.使用token进行加密解密,提高接口安全性

如app要请求用户列表,api是“index.php?module=user&action=list”

app生成to...

			
		

	





	

		

			

				
					
PHP经典接口授权校验,你绝对想不到

				
			

			

				

					u014227331的博客
				

				

					07-20
					
					353
					
				

			

		

		

			
				
对于开发开放接口有很大的帮助,校验码存于header,密钥与内容关联二次加密,同时加上当前时间和随机字符串,安全性很高。 
//头部
    private static $header = array(
        'alg' => 'HS256', //生成signature的算法
        'typ' => 'JWT'    //类型
    );

    public $app_id = '';
    private $app_secret;
    private $s.

			
		

	





	

		

			

				
					
php抓包设置参数_PHP接口请求参数篡改检验方案

				
			

			

				

					weixin_35716518的博客
				

				

					03-09
					
					552
					
				

			

		

		

			
				
目的接口请求的参数如果没做篡改的参数校验,攻击者可以拦截接口并修改参数,这样后是不知道参数从前发起后是否被篡改。比如小游戏游戏部分在前,完成游戏后提交成绩给后,攻击者可以抓包请求进行拦截篡改游戏成绩,这点已经被证明是可行的。基于此,打算指定一套前与后约定的参加校验规则,提高篡改数据的难度。真正范篡改数据很困难,因为加密规则都在前代码里,有一定技能的人还是可以通过看前代码获得加密...

			
		

	





	

		

			

				
					
支付宝纯网关接口详解:实时转账与开发者指南

				
			

			

				

					
				

			

		

		

			
				
 提供了检查接口请求是否来自支付宝的方法,以防止恶意伪造。  7. **错误码与状态**:  详尽列举了各种可能的错误代码,如交易状态、退款状态、收款类型等,帮助开发者处理异常情况。  8. **渠道信息**:  解释了...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值