php 防伪造表单,PHP防止跨站表单提交与同站跨页伪造表单的攻击

最新推荐文章于 2021-03-25 22:52:38 发布
最新推荐文章于 2021-03-25 22:52:38 发布
阅读量101 收藏
点赞数

php 防伪造表单

在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])

不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头

由于HTTP Referer是由客户端浏览器发送的,而不是由服务器控制的,因此你不应当将该变量作为一个信任源。

当然登录的时候可以使用验证码来解决,不过其他很多表单提交还是不适宜。

下面给出一个防止伪造表单提交的方案,还解决了同一个站点不同页面的非法调用!

//--------------- 代码 -------------//

session_start();

#随机取6位的散列值

function gen_token() {

$hash = md5(uniqid(rand(), true));

$n = rand(1, 26);

$token = substr($hash, $n, 6);

return $token;

}

function ck_form(){

if (_POST('qm_token')=='' || _SESSION('token')=='' || _POST('qm_token') != _SESSION('token')){

exit('请勿非法提交');

}

}

function token_input(){

$token = gen_token();

$_SESSION['token']= $token;

echo "";

}

//使用方法,注意先后顺序

if(_POST('add')!=''){

#提交表单的时候验证提交页面的合法性

ck_form();

正常CODE...

}

其他HTML...

//------------ 代码结束 -------------//

原理:当不同的页面跨站或同站非法跨页提交表单的时候

跨站时获取的隐藏域和SESSION值都为空,可以判断是非法提交,因为合法页面的SESSION和隐藏域我赋了同样的散列值。

同站时SESSION值和POST得到的隐藏域的值不会相同,所以也可以判断是非法提交。

NOTE:

function _POST($str){

$val = !empty($_POST[$str]) ? $_POST[$str] : null;

return $val;

}

function _GET($str){

$val = !empty($_GET[$str]) ? $_GET[$str] : null;

return $val;

}

function _SESSION($str){

$val = !empty($_SESSION[$str]) ? $_SESSION[$str] : null;

return $val;

}

weixin_39841572
关注
php防止站外远程提交表单的方法
10-25
在Web开发过程中,防止站外远程提交表单是一个重要的安全措施,可以有效范诸如跨站请求伪造(CSRF)攻击、自动化的垃圾邮件发送、以及恶意的表单提交等多种安全威胁。PHP作为流行的服务器端脚本语言,提供了多种...
php漏洞之跨网站请求伪造防止伪造方法
10-26
跨站请求伪造(Cross-Site Request Forgery,简称CSRF)是一种网络安全漏洞,攻击者通过诱导用户在未经许可的情况下执行非预期的操作,从而达到恶意目的。在PHP开发中,了解并防止这种攻击至关重要。 首先,我们...
php防止跨站表单,防止form表单重复提交和跨站请求攻击
weixin_32005771的博客
03-22 103
利用php随机函数生成一个随机码,然后写入到session,在form表单中放置这个随机码,提交的时候进行并对,如果两个值不一致,就是重复提交或非法请求了,当页面刷新后又生成一个新的随机码,再比对。//表单页面session_start();$s_code = md5(mt_rand(0,10000000));$_SESSION['s_code']=$s_code;?>//表单处理页面$c_...
PHP防止跨站表单提交同站跨页伪造表单攻击
IT专业技术博客
05-23 626
在以前的防止跨站攻击的时候,使用了验证提交的页面是否是同一个站点,这样可以防止普通的攻击,ereg("www.rczjp.com",$_SERVER['HTTP_REFERER']) 不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: www.rczjp.cn"); 或者在恶意脚本中伪造HTTP头 由于HTTP Referer是由客户端浏览
PHP程序如何防止站外提交数据
wasabi ~编码 测试 倾听 设计!
03-13 319
[code="html"] $servername=$HTTP_SERVER_VARS[SERVER_NAME]; $sub_from=$HTTP_SERVER_VARS["HTTP_REFERER"]; $sub_len=strlen($servername); $checkfrom=substr($sub_from,7,$sub_len); if($checkfrom!=$serve...
php程序防止外部页面提交表单,php防止站外远程提交表单的方法
weixin_35562751的博客
03-25 334
php防止站外远程提交表单的方法发布于 2014-10-25 20:56:44 | 142 次阅读 | 评论: 0 | 来源: 网友投递PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php...
php防止伪造跨站请求的小招式
10-28
PHP开发中,防止伪造跨站请求(Cross-Site Request Forgery, CSRF)是一项至关重要的安全措施。CSRF攻击允许攻击者在用户浏览器上利用已登录用户的权限执行恶意操作,如发送垃圾邮件、删除数据等。为了抵御这种...
浅谈ASP.NET MVC 防止跨站请求伪造(CSRF)攻击的实现方法
10-18
在*** MVC开发中,跨站请求伪造(Cross-Site Request Forgery,简称CSRF)攻击是一项重要的安全任务。CSRF攻击利用了网站对于用户浏览器的信任,诱使用户在已认证的状态下向受信任网站发送非预期的请求。攻击者...
php中如何防止表单的重复提交
10-27
PHP开发中,防止表单重复提交是一个常见的需求,尤其对于处理重要数据或者涉及财务交易的表单尤为重要。重复提交可能会导致数据不一致,影响系统的正常运行。以下是一些常用的防止表单重复提交的方法: 1. **利用...
伪造表单提交目的地,窃取数据
Poison_Kiss的专栏
09-26 3541
action attack   --> if (self!=top){top.location=self.location}),(无敌一句:javascript:document.body.outerHT
php防止远程提交,PHP如何防止远程提交
weixin_39634351的博客
03-10 93
一般来说,防止站外提交表单,无非就是对每一次打开表单或提交数据,都会需要加一个token来进行验证。这个其实与验证码做法没什么两样,下面来看几个防止站外远程提交表单的例子。例子一:我们每一次打开提交页面生成一个token,然后,保存在session中,当表单提交时,我们来判断当前的token值与session是否一致,如果是的,就是正常提交,否则,就是无效提交了。具体代码如下:...
统一Portal门户和IAM平台(单点登录、统一用户资源和权限管理)实践
热门推荐
zollty的专栏
09-08 2万+
一、背景和目的 解决如下问题: 打通所有系统的账户密码,只需要记住一个就行,而且登录一个系统后,打开其他系统不需要再登录。 不需要记住多个系统的地址,甚至不需要在多个系统页面跳来跳去,通过一个门户网站,串通起常用功能。 需求如下: 具备单点登录功能,并且能为第三方应用提供主流的登录认证。 具备用户的基本信息、角色、资源权限等集中管理和控制。 提供统一的集中办公Portal门户网站,在里面无缝链接其他系统的页面和功能。 关键术语: ...
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1756
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
PHP防止站外表单跨站提交的几种办法详解
Sunny
06-27 1894
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网站一样的表单,然后在他自己站内或别处,向你的网站提交。这种跨站和XSS不一样,是为了提交表单数据到你的网站,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机串,比如V...
php 表单提交token,PHP表单增加token验证,防止站外及重复提交
weixin_29119159的博客
03-11 334
token用于常用的表单防止重复提交及站外提交的一个常用的处理方式了,下文我们一起来看一个PHP表单增加token验证,防止站外及重复提交例子。原理在于生成一个随机字符串放在session里。提交表单后来验证这个字符串。可以做到防止他人自己写form来欺骗提交,重复提交或者双击提交。Token.php/** Created on 2013-3-25** To change the template...
c#实现俄罗斯方块,面向对象实现
最新发布
09-15
俄罗斯方块(Tetris)是一款经典的益智游戏,由俄罗斯程序员阿列克谢·帕基特诺夫于1984年开发。游戏的主要目标是通过旋转和移动不同形状的方块(称为“砖块”或“Tetrominoes”),将它们填充到屏幕底部的水平行中。当一行被完全填满时,该行会消失,玩家将获得积分。 游戏特点: 砖块形状:游戏中有七种不同形状的砖块,每种砖块由四个方块组成。 下落机制:砖块从屏幕顶部逐渐下落,玩家需要快速做出决策。 得分系统:消除的行越多,得分越高,连续消除多行会获得额外分数。 难度递增:随着游戏进行,砖块下落的速度会逐渐加快,增加了游戏的挑战性。 文化影响: 俄罗斯方块不仅在游戏界取得了巨大的成功,还成为了流行文化的一部分,影响了许多后续的游戏设计。它的简单性和上瘾性使其成为了历史上最畅销的电子游戏之一。 版本与平台: 自发布以来,俄罗斯方块已经在多个平台上推出,包括家用游戏机、电脑、手机等,形成了众多不同的版本和变种。
PHP表单重复提交:Token实现详解及优化策略
Token,即令牌,其核心特点是随机性和唯一性,使得它难以预测,从而有效地对抗恶意的重复提交或跨站请求伪造(anti-CSRF)攻击。 Token的主要作用有两个:一是确保表单提交的唯一性,避免同一数据被多次提交;二是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值