php通过session防url攻击方法
发布于 2015-11-19 18:54:39 | 92 次阅读 | 评论: 0 | 来源: 网友投递
PHP开源脚本语言PHP(外文名: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java和Perl的特点,入门门槛较低,易于学习,使用广泛,主要适用于Web开发领域。PHP的文件后缀名为php。
这篇文章主要介绍了php通过session防url攻击方法,可通过session获取用户名再传入URL来防止URL攻击,是非常实用的技巧,需要的朋友可以参考下
本文实例讲述了php通过session防url攻击方法。分享给大家供大家参考。具体实现方法如下:
通过session跟踪,可以很方便地避免url攻击的发生,php采用session防url攻击方法代码如下:
代码如下:
session_start();
$clean = array();
$email_pattern = '/^[^@s]+@([-a-z0-9]+.)+[a-z]{2,}$/i';
if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
$user = $_SESSION['user'];
$new_password = md5(uniqid(rand(), TRUE));
if ($_SESSION['verified'])
{
/* Update Password */
mail($clean['email'], 'Your New Password', $new_password);
}
}
?>
使用时URL可设置如下:
http://example.org/reset.php?user=php&email=chris%40example.org
如果reset.php信任了用户提供的这些信息,这就是一个语义URL 攻击漏洞,在此情况下,系统将会为php 帐号产生一个新密码并发送至chris@example.org,这样chris 成功地窃取了php 帐号.
相关阅读:
php通过session防url攻击方法
php利用httponly防xss攻击方法示例
PHP中session变量的销毁方法
PHP利用str_replace防注入的方法示例
PHP的session过期时间设置方法
PHP 解决session死锁的方法
PHP通过session id 实现session共享和登录验证的代码
php下网站防IP攻击代码
php验证session无效的解决方法
php处理带有中文URL的方法
php防止伪造的数据从URL提交方法
php通过递归实现删除目录下的所有文件的方法