php 表单被恶意提交,DedeCMS自定义表单提示88952634恶意提交

最新推荐文章于 2021-11-08 10:49:18 发布
最新推荐文章于 2021-11-08 10:49:18 发布
阅读量386 收藏
点赞数
文章标签: php 表单被恶意提交

DedeCMS经常使用表单来接收或收集用户提交的订单或信息,如果有人恶意攻击网站或者用扫描的方法,由于程序本身对某些字符进行过滤,如果你的表单提交过来的数据全部显示:88952634,就证明收到恶意攻击!

4791a88b7e40787a7fff4523586a95b5.png

应对这样的攻击除了自身服务器的防护外,还可以在DedeCMS本身的diy表单里限制用户同一时间提交表单信息。网上找到这样的应对方法:

找到/plus/diy.php,找到

if(!is_array($diyform))

{

showmsg('自定义表单不存在', '-1');

exit();

}

下面添加代码:

//检测游客是否已经提交过表单 //www.vi586.com

if(isset($_COOKIE['VOTE_MEMBER_IP']))

{

if($_COOKIE['VOTE_MEMBER_IP'] == $_SERVER['REMOTE_ADDR'])

{

ShowMsg('您已经填写过表单啦','-1');

exit();

} else {

setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/');

}

} else {

setcookie('VOTE_MEMBER_IP',$_SERVER['REMOTE_ADDR'],time()*$row['spec']*3600,'/');

}

但是这是针对用户本身,也就是运用了浏览器的cookie,但是程序扫描的应该会失效,Safe3WVS扫描器在扫描sql注入漏洞时,post字段内就含有88952634这个数字,

这是利用限制IP达到重复多次提交的目的,用户同一个IP只能一天内只能提交三次,在上面的代码替换成下面代码:

//判断ip,限制预约次数

$intime = date('Y-m-d');

$row_ip = $dsql->getOne("SELECT count(*) as dd FROM `dede_xxxx` WHERE ip like '%{$ip}%' and date like '%{$intime}%'");

if($row_ip['dd'] >= 3) {

echo "

exit();

}

扩展阅读

本文地址:https://www.vi586.com/web/325.html

版权声明:原创文章,版权归重庆SEO吖七所有,欢迎分享本文,支持原创,转载请保留出处

weixin_39727402
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
表单提交防刷(重复提交,恶意提交)的方法
qq_41714882的博客
01-06 1626
背景与介绍: 平时开发的项目中可能会出现下面这些情况: 由于用户误操作,多次点击表单提交按钮。 由于网速等原因造成页面卡顿,用户重复刷新提交页面。 黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。 这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。 解决方案 通过JavaScript屏蔽提交按钮(不...
php 欺骗提交,PHP安全-欺骗表单提交
weixin_29901799的博客
03-10 157
欺骗表单提交制造一个欺骗表单几乎与假造一个URL一样简单。毕竟,表单提交只是浏览器发出的一个HTTP请求而已。请求的部分格式取决于表单,某些请求中的数据来自于用户。大多数表单用一个相对URL地址来指定action属性:method="POST">当表单提交时,浏览器会请求action中指定的URL,同时它使用当前的URL地址来定位相对URL。例如,如果之前的表单是对http://www.p...
关于表单恶意提交
java
02-08 1423
对于每一个表单,现在可以增加两个hidden元素: 拿用户登录做个例子: username: password: 其中p1是根据系统时间的毫秒数: p2是自己写的一个函数对p1加密后的字符串。 而且后台还规定p1距离当前时间超过60s则认为表单已经过期。 这样,如果我改了p1的值, 因为不知道产生p2的具体算法,后台就会知
心得3--表单提交时防止用户不小心提交多次及有人恶意提交案例分析
weixin_30360497的博客
11-06 101
1.session案例:防止表单重复提交 JS语言写的防止客户意外提交表单(比如网速不给力时,客户多次点提交按钮) <script> var flag =false; function check(){ if(!flag){ //设置按过按钮后变成灰色 document.getElem...
88952634 mysql_SQL注入攻击
weixin_36229423的博客
01-19 328
一、漏洞描述针对SQL注入的攻击行为可描述为通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。二、攻击场景及形成原因漏洞成因可以归结为以下两个原因叠加造成的:1. 程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。2. 未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。SQL注入的攻击方式根据应用程序处理数据库返...
【T183】大气钢结构行业集团公司网站dedecms模板.zip
09-24
4. **自定义表单**:模板可能包含了自定义表单功能,便于访客进行询价、预约服务等操作,帮助企业收集潜在客户信息,提高转化率。 5. **图片及多媒体管理**:DEDECMS提供了强大的媒体管理功能,可以方便地上传、...
帝国(ECMS)自定义报名模块并发送邮件提醒
07-18
3. 设置提交动作:在表单提交后,系统应处理这些信息,将其保存到数据库中,同时触发邮件提醒功能。 **邮件提醒的实现**: 1. 配置邮件服务:在ECMS后台,我们需要设置邮件服务器的相关参数,如SMTP服务器地址、...
ASP网站CMS程序源码——DedeCMS心情评论插件实例开发.zip
10-17
它使用MySQL作为数据存储,通过模板引擎实现灵活的页面布局,并且支持自定义模块开发,允许开发者添加新的功能。 心情评论插件实例开发涉及到以下几个关键技术点: 1. **插件系统**:DedeCMS有一个完善的插件机制...
php面试题大全及答案
热门推荐
精灵码农
01-21 1万+
** ## 包括PHP基础部分、数据库部分、面向对象部分、ThinkPHP部分部分、smarty模板引擎、二次开发系统(DEDE、ecshop)、微信公众平台开发、对于自身掌握的技术描述等几部分PHP面试题。 ** 1、PHP语言的一大优势是跨平台,什么是跨平台? PHP的运行环境最优搭配为Apache+MySQL+PHP,此运行环境可以在不同操作系统(例如windows、Linux等)上配置,不受操作系统的限制,所以叫跨平台 2、WEB开发中数据提交方式有几种?有什么区别?百度使用哪种方式? Get
html表单可多次提交吗,如何防止织梦自定义表单重复提交多次,恶意提交
weixin_35742852的博客
07-01 397
已更新方法:我们在制作企业站或者是其他站时,使用织梦系统建站,可以制作留言功能,但是小编就遇到一个ip下多次提交、重复提交恶意提交表单的现象,然后小编在网上找了很多的解决办法,最终落实到以ip来判断用户,防止恶意提交,本人已经测试过了没有问题织梦自定义表单重复提交多次代码如下打开织梦后台根目录plus文件夹下diy.php文件(可以用DW编辑)找到if(!is_array($diyform)){...
php表单修改数据
weixin_30433075的博客
02-20 681
(接前面写的) 第一个页面xiugai.php <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtm...
恶意上传了.php,轻松解决网站被恶意镜像
weixin_35676877的博客
03-16 405
老听说有人的网站被恶意镜像,于是我先收藏几种解决方法。镜像站看似一个完整的站点,其实每次用户访问镜像站点,他的小偷程序就会来正版的网站查询数据,并修改相关链接然后呈献给用户。实质上还是在读取原站的数据,我们只需要屏蔽到抓取我们数据的那个主机ip就可以了。方法一:.htaccess文件禁ip1、获取镜像服务器ip复制如下代码,新建一个php文件,并命名为“ip.php”上传到你的网站根目录$file...
88952634 mysql_控客www站注入(控制全国所有用户/全部设备/全部订单)
weixin_30946627的博客
01-19 169
back-end DBMS: MySQL 5.0.11Database: daike+---------+---------+| Table | Entries |+---------+---------+| tb_user | 2002 |+---------+---------+sqlmap identified the following injection points with...
只能提交一次 php,DedeCMS自定义表单限制每个IP24小时只能提交一次
weixin_35797090的博客
03-17 379
这篇文章主要为大家详细介绍了DedeCMS自定义表单限制每个IP24小时只能提交一次,具有一定的参考价值,感兴趣的小伙伴们可以参考一下,有需要的朋友可以收藏方便以后借鉴。织梦dedecms自定义表单提交功能,这个很方便我们开发一些小功能,例如在线报名,提交订单以及挂号等功能,361源码前面给大家介绍过这样的实例,没看过的朋友可以参看《织梦dedecms建立留言系统及在线报名系统实例》做下了解。但...
提交表单后怎么防止重新提交_DedeCMS自定义表单制作和调用办法
weixin_39743369的博客
12-04 183
在很多建站需求中,需要一些额外的表单供前台用户提交,以便于收集、统计、分析及处理更多的数据,比如:在线订单、在线报名等一些常见的互动应用。dedecms自定义表单调用先说怎么调用自定义表单吧,因为制作简单些,难点在调用这方面。dedecms5.6 自定义表单内容首页调用代码举例:{dede:loop table='dede_diyform1' sort='' row='10' if=''}[fie...
完美解决表单被外部提交问题
lostsky的专栏
03-21 1719
原文来自http://www.icefire.cn/jvf/content/content.jsp?id=bc3f01b20a1a9fc3010a1bf1c4ad0002      如何防止表单被在网站外部提交,现在最有效的办法是通过输入验证码来防止表单被外部提交,验证码被人眼很容易识别,但是想通过程序来识别是及其困难的事情。      如果要防止表单被攻击,验证码是最优的选择之一,在JFW里所有
总结一些防止dedecms系统被攻击的方法
weixin_33982670的博客
12-19 653
总结一些防止dedecms系统被攻击设置的方法,可有效的防止织梦系统被挂马,仅供各位站长参考。1.安装时数据库的前缀不用dedecms默认的前缀dede_,可以改成其他的名称如diy_2.装好dede织梦cms系统后删除装文件install3.修改织梦后台文件目录:把默认的dede改成其他名字4.织梦后台后台密码尽量复杂化:密码应该由大写字母、小写字母和数字组成5.将系统的data目录迁移到根目录...
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入(SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值