PHP防止伪造跨站请求:表单中插入隐藏的随机串

最新推荐文章于 2022-09-21 15:02:45 发布
最新推荐文章于 2022-09-21 15:02:45 发布
阅读量1k 收藏
点赞数
分类专栏: PHP web
web 同时被 2 个专栏收录
101 篇文章 0 订阅
订阅专栏
PHP
69 篇文章 0 订阅
订阅专栏


随机串代码实现

创建一个crumb的实现,代码如下:

 <?php
class Crumb {                                                                                                 
                                                                                                                 
    CONST SALT = "your-secret-salt";                                                        
                                                                
    static $ttl = 7200;                                                                                          
                                                                                                                 
    static public function challenge($data) {                                                                    
        return hash_hmac('md5', $data, self::SALT);                                                              
    }                                                                                                            
                                                                                                                 
    static public function issueCrumb($uid, $action = -1) {                                                      
        $i = ceil(time() / self::$ttl);                                                                          
        return substr(self::challenge($i . $action . $uid), -12, 10);                                            
    }                                                                                                            
                                                                                                                 
    static public function verifyCrumb($uid, $crumb, $action = -1) {                                             
        $i = ceil(time() / self::$ttl);                                                                          
                                                                                                                 
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||                                    
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)                               
            return true;                                                                                         
                                                                                                                 
        return false;                                                                                            
    }                                                                                                            
                                                                                                                 
}

 

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。

应用示例

构造表单
在表单中插入一个隐藏的随机串crumb

<form method="post" action="demo.php">
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">
<input type="text" name="content">
<input type="submit">
</form>

处理表单 demo.php
对crumb进行检查

<?php
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {
    //按照正常流程处理表单
} else {
    //crumb校验失败,错误提示流程
}
xmlife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php防止CSRF(请求伪造)的原理实现示例
孤舟残月梦还长存的专栏
10-13 197
<?php session_start(); //生成随机字符 function randomStr($max = 16){ $str = 'abcdefghijklmnopqrstuvwxyz'. '0123456789'. 'ABCDEFJHIJKLMNOPQRSTUVWXYZ'; $val = ''; $str = str_shuffle($str); //打乱字符 for($i = 0; $i
PHP防止单提交与同伪造单的攻击
IT专业技术博客
05-23 613
在以前的防止攻击的时候,使用了验证提交的页面是否是同一个点,这样可以防止普通的攻击,ereg("www.rczjp.com",$_SERVER['HTTP_REFERER']) 不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: www.rczjp.cn"); 或者在恶意脚本中伪造HTTP头 由于HTTP Referer是由客户端浏览
添加一个php验证加载,php安全开发:添加随机字符验证,防止伪造请求
weixin_39900736的博客
04-02 52
伪造请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造攻击呢?yahoo对付伪造请求的办法是在单里加入一个叫.crumb的随机;而facebook也有类似的解决办法,它的单里常常会有post_form_id和fb_dtsg。比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的单中加入一个随机且变换频繁的字符,然后在...
PHP点对接访问请求
weixin_41692437的博客
09-21 237
PHP点接口请求访问
php安全开发:添加随机字符验证,防止伪造请求
打杂人
04-01 3074
伪造请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造攻击呢? yahoo对付伪造请求的办法是在单里加入一个叫.crumb的随机;而facebook也有类似的解决办法,它的单里常常会有post_form_id和fb_dtsg。 比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的单中加入一个随机且变换频繁
php安全开发 添加随机字符验证,防止伪造请求
10-27
在实际应用中,我们可以在单中插入一个隐藏的`<input>`元素,用来存放`Crumb::issueCrumb()`方法生成的Token: ```html <form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?...
PHP实现防止单重复提交功能【基于token验证】
12-19
这种方法的一个优点是它能够防止用户意外的重复点击提交按钮,同时也防范了一些请求伪造(CSRF)攻击。然而,它并不能完全防止恶意用户的攻击,比如通过抓包工具修改token值。因此,在实际应用中,还应结合其他...
注册和登录系统:使用PHP和MySQL的简单注册和登录系统
02-18
此外,为了防止请求伪造(CSRF)攻击,注册和登录单应包含随机生成的令牌,服务器端验证这些令牌以确认请求源自合法页面。 在实际应用中,我们还需要考虑其他功能,比如密码重置、邮箱验证以及用户资料管理。...
PHP实例开发源码—小海PHP留言板.zip
11-24
6. **安全性**:考虑到用户输入的安全性,PHP实例中应该包含预防XSS(脚本攻击)和CSRF(请求伪造)的措施。 7. **响应式设计**:如果这个留言板是Web应用的一部分,那么它可能需要适应不同设备的屏幕大小...
基于PHP的TearSnow FanS.zip
最新发布
07-23
6. **安全考虑**:PHP开发中需要关注的安全问题,如SQL注入、XSS攻击、CSRF(请求伪造)等,以及如何使用预处理语句、过滤用户输入、使用验证码等来防止这些攻击。 7. **错误和调试**:理解PHP的错误报告机制,...
PHP漏洞全解————6、请求伪造
Fly_鹏程万里
04-30 636
本文主要介绍针对PHP请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的HTTP 请求,事实上,跟踪一个用户发送的HTTP请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网,网执行此请求后,引发请求伪造攻击。...
php防止伪造请求的小招式
红尘道,红尘练心
05-29 142
 伪造请求介绍   伪造请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。这种攻击常见的现形式有:   伪造链接,引诱用户点击,或是让用户在不知情的情况下访问   伪造单,引诱用户提交。单可以是隐藏的,用图片或链接的形式伪装。   比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的单中加入一个随机且变...
Yii 面包屑用法
houxianyj的专栏
04-17 2431
<?php $this->widget('zii.widgets.CBreadcrumbs', array( 'homeLink'=>CHtml::link('首页',Yii::app()->homeUrl), //这里可以修改HOME,变成中文 'links'=>$this->breadcrumbs, )); ?>
【代码】利用php防止用户伪造请求的小技巧
10-10 1676
清源教育php开发课程学习培训之php常用的伪造请求介绍 伪造请求比较难以防范,而且危险系数很大,恶意攻击者经常通过这种方式进行恶作剧,发spam信息,删除网数据等等。这种常见的攻击现形式有: 伪造恶意的链接,诱骗用户去点击,或者让用户在毫无防备的情况下访问 伪造提交单,诱骗用户提交。单是隐藏类型的,用图片或链接的形式伪装。 比较常见并且最常用的防范手段是在
PHP防止提交的几种办法详解
Sunny
06-27 1886
http://www.vephp.com/jiaocheng/61.html在众多功击手段中,有一种是功击者自己伪造了一个和你网一样的单,然后在他自己内或别处,向你的网提交。这种和XSS不一样,是为了提交单数据到你的网,给安全造成了问题。对于这类的功击,有几种方式:1、传统的浅层阻止:这个是最常用的。但是其实根本没用2、加密令牌:很多CMS会用到这个方式,就是生成一个随机,比如V...
php中使用session防止用户非法登录后台的方法
qq_42058441的博客
12-22 1992
本文实例讲述了php中使用session防止用户非法登录后台的方法。分享给大家供大家参考。具体如下: 一般来说,我们登录网后台时,服务器会把登录信息保存到session文件里,并通过读取session文件来判断是否可以进行后台操作。 以下面为例,假如admin.php是我们的后台操作页面,如果没有启用 session,那么,即便是没有登录,用户照样能访问到该页面,这时候,就需要用到 sess...
php伪造单,PHP防止单提交与同伪造单的攻击
weixin_36261487的博客
03-11 117
在以前的防止攻击的时候,使用了验证提交的页面是否是同一个点,这样可以防止普通的攻击,ereg("blog.qita.in",$_SERVER['HTTP_REFERER'])不过也不是很安全的,因为攻击者可以伪造HTTP Referer,如 header("Referer: blog.qita.in"); 或者在恶意脚本中伪造HTTP头由于HTTP Referer是由客户端浏览器发送的,而不...
理解CSRF:伪造请求的安全威胁与测试方法
"这篇文档主要讨论了A-伪造请求(CSRF)的软件安全测试方法,并结合了网络安全事件和攻击手段的概述。" 在Web应用安全领域,CSRF(Cross-Site Request Forgery)是一种常见的攻击方式,它利用了用户已经登录并...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值