php通防,php通过session防url攻击方法

最新推荐文章于 2023-03-03 13:05:30 发布
最新推荐文章于 2023-03-03 13:05:30 发布
阅读量175 收藏
点赞数
文章标签: php通防

php通过session防url攻击方法

发布于 2015-11-19 18:54:39 | 92 次阅读 | 评论: 0 | 来源: 网友投递

PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php。

这篇文章主要介绍了php通过session防url攻击方法,可通过session获取用户名再传入URL来防止URL攻击,是非常实用的技巧,需要的朋友可以参考下

本文实例讲述了php通过session防url攻击方法。分享给大家供大家参考。具体实现方法如下:

通过session跟踪,可以很方便地避免url攻击的发生,php采用session防url攻击方法代码如下:

代码如下:

session_start();

$clean = array();

$email_pattern = '/^[^@s]+@([-a-z0-9]+.)+[a-z]{2,}$/i';

if (preg_match($email_pattern, $_POST['email']))

{

$clean['email'] = $_POST['email'];

$user = $_SESSION['user'];

$new_password = md5(uniqid(rand(), TRUE));

if ($_SESSION['verified'])

{

/* Update Password */

mail($clean['email'], 'Your New Password', $new_password);

}

}

?>

使用时URL可设置如下:

http://example.org/reset.php?user=php&email=chris%40example.org

如果reset.php信任了用户提供的这些信息,这就是一个语义URL 攻击漏洞,在此情况下,系统将会为php 帐号产生一个新密码并发送至chris@example.org,这样chris 成功地窃取了php 帐号.

相关阅读:

php通过session防url攻击方法

php利用httponly防xss攻击方法示例

PHP中session变量的销毁方法

PHP利用str_replace防注入的方法示例

PHP的session过期时间设置方法

PHP 解决session死锁的方法

PHP通过session id 实现session共享和登录验证的代码

php下网站防IP攻击代码

php验证session无效的解决方法

php处理带有中文URL的方法

php防止伪造的数据从URL提交方法

php通过递归实现删除目录下的所有文件的方法

weixin_39993322
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
session攻击
weixin_53386866的博客
02-28 1125
Session攻击 一、 关于session攻击 1.主要攻击方式 首先通过捕获或者固定合法用户的session。然后冒充该用户来访问系统 2、三种方式来获取一个有效的session标识符 预测 捕获(劫持) 固定 二、认证凭证预测 1.原理 ●预测需要攻击者清测出系统中使用的有效的session标识符,类似暴力破解 2.目前session安全 ●php生成随机的session id极其复杂,并且难于被预测出来 ●php生成session字符串无任何规律和顺序 三、会话劫持 1.含义 ●会话劫持 (essi
php通过sessionurl攻击方法
10-25
主要介绍了php通过sessionurl攻击方法,可通过session获取用户名再传入URL防止URL攻击,是非常实用的技巧,需要的朋友可以参考下
PHP安全编程之从URL的语义进行攻击
爱代码也爱生活
08-10 797
好奇心是很多攻击者的主要动机,语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如,如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris, 很自然地他可能会试图改变user的值,看看会发生什么。例如,他可能访问http://example.org/private.ph
php禁止伪造_php防止伪造数据从地址栏URL提交的方法
weixin_39609752的博客
03-08 95
针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:/*PHP防止站外提交数据的方法*/function CheckURL(){$servername=$_SERVER['SERVER_NAME'];$sub_from=$_SERVER["HTTP_REFERER"];$sub_len=strlen($servername);$checkfrom=substr($sub_from...
php session攻击,Session定置攻击的过程和预
weixin_39949584的博客
03-31 258
问题确保用户的session标识符不会由第三方提供,例如挟持了用户的session攻击者方案只要用户的授权范围改变,如成功登陆后,就通过session_regenerate_id()来重新生成session标识符session_regenerate_id();$_SESSION[‘logged_in’] = true;?>如上图,用户本次登陆时传递给服务器的cookies中的session...
php 过滤用户url输入,PHP 用户提交数据之过滤、验证和转义
weixin_42378289的博客
03-11 541
1、过滤输入过滤输入是指转义或删除不安全的字符。在数据到达应用的存储层之前,一定要过滤输入数据,这是第一道线。假如网站的评论框接受HTML,用户可以随意在评论中加入恶意的标签,如下所示:这篇文章很有用!windows.location.href="http://www.huya.com";如果不过滤这种评论,用户刷新页面的时候就不知道会被定向到什么未知的网。我们可以使用PHP提供的htmlent...
PHP中通过语义URL防止网站被攻击方法分享
01-20
什么是语义URL 攻击? 好奇心是很多攻击者的主要动机,语义URL 攻击就是一个很好的例子。此类攻击主要包括对URL 进行编辑以期发现一些有趣的事情。 例如,如果用户chris 点击了你的软件中的一个链接并到达了页面...
php session劫持和范的方法
12-19
PHP Session劫持及其方法】 会话管理是Web应用程序中的关键部分,PHP中的Session机制用于跟踪用户状态,存储用户信息。然而,由于Session数据可能包含敏感信息,如用户名、密码哈希等,因此,Session劫持成为...
PHP Session变量不能传送到下一页的解决方法
12-18
这样即使客户端Cookie禁用,PHP也会尝试通过URL参数传递Session ID。 示例代码: ```php <?php session_start(); $_SESSION['var1'] = "中华人民共和国"; $url = "<a href='s2.php'>下一页</a>"; echo $url; ...
PHP安全编程:防止源代码的暴露(转)
weixin_34128501的博客
07-29 698
关于包含的一个重要问题是源代码的暴露。产生这个问题主要原因是下面的常见情况:  对包含文件使用.inc的扩展名 包含文件保存在网站主目录下 Apache未设定.inc文件的类型 Apache的默认文件类型是text/plain  上面情况造成了可以通过URL直接访问包含文件。更糟的是,它们会被作为普通文本处理而不会被PHP所解析,这样你的源代码就会显示在用户的浏览器上。  避免...
PHP 小心urldecode引发的SQL注入漏洞
01-20
Ihipop 学校的 Discuz X1.5 论坛被黑,在那里吵了一个下午。Google 一下“Discuz! X1-1.5 notify_credit.php Blind SQL injection exploit”,你就知道。 Discuz 是国内很流行的论坛系统,被黑的网站应该会很多吧。不过我对入侵别人的网站不感兴趣,同时也鄙视那些代码都不会写只会使用别人放出的工具攻击的所谓的“黑客”。 粗略看了一下代码,这个 SQL 注入漏洞是 urldecode 函数造成的。在 PHP 手册中,urldecode 函数下面有一个警告: The superglobals $_GET and $_REQ
Session攻击
最新发布
ssslq的博客
03-03 611
Session攻击
PHP实战之WEB网站常见受攻击方式及解决办法
monkeyapi的博客
01-08 541
一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面就讨论一下几种漏洞情况和防止攻击的办法 当登录成功以后,需要重定向回page参数所指定的页面。下面是重定向发生时的response headers. HTTP/1.1 302 Moved Temporarily Date: Tue, 17 Aug 2010 20:00:29 GMT Server: Apache mod_fcgid/...
url注入危险php,安全小课堂第121期【URL注入攻击
weixin_39735288的博客
04-03 368
IT小丑:但凡传递URL参数的地方均有可能存在问题,常见的URL参数梳理如下:go、return、returnTo、logout、register、login、returnUrl、path、redirectURI、redir、returl share、wap、url、link、src、source、target、u、3、display、sourceURl、imageURL、domain。具体是哪个...
Session攻击
不忘初心,护天下安全!
11-23 548
Session 在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务...
phpsessionCC
a364165628的专栏
04-06 353
<?php session_start(); $falsenum=isset($_SESSION['f_num'])?intval($_SESSION['f_num']):0; $cc_t=isset($_SESSION['cc_t'])?intval($_SESSION['cc_t']):0; $cc_l=isset($_SESSION['cc_l'])?intval($_SESSION['cc
php 网址后面加字符串 查询,在以.php结尾的网址后,如何防止添加其他字符串?...
weixin_31894867的博客
04-05 535
我们网站的团队刚刚发现,任何用户都可以在以.php扩展名结尾但仍访问同一原始页面的URL之后添加斜杠“/”然后添加任何字符串.例如:我可以访问www.mydomain.com/index.php:> www.mydomain.com/index.php/test> www.mydomain.com/index.php/test/123> www.mydomain.com/inde...
php 过滤url_php系统自带url验证函数之过滤器FILTER_VALIDATE_URL
weixin_42349182的博客
03-09 1101
我们经常用一些正则来验证url,但是php自带了一个类似的函数filter_var。函数用法:参数标志:FILTER_FLAG_SCHEME_REQUIRED – 要求 URL 是 RFC 兼容 URL。(比如:http://example)FILTER_FLAG_HOST_REQUIRED – 要求 URL 包含主机名(http://www.example.com)FILTER_FLAG_PAT...
php如何伪装url,php防止伪造数据从地址栏URL提交的方法,伪造url_PHP教程
weixin_35202013的博客
03-10 453
php防止伪造数据从地址栏URL提交的方法,伪造url针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:这个方法只能防止手动在浏览器地址栏上输入的URL。事实上只要在服务器上构造出一个指向该URL的超链接(www.jb51.net)比如在发贴时加入超链,再点击,这个Check就完全不起作用了。目前觉得还是用POST的方法传递重要数据比较可靠。可以在form中插入一些隐藏的tex...
PHP5 Session详解:存储用户状态与实现机制
确保对session_id进行加密处理,防止中间人攻击,并且不要在URL中直接暴露session_id。 PHP5的Session是Web开发中的基础组件,理解其工作原理和最佳实践对于构建健壮的网站至关重要。通过设置合适的参数和管理策略...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值