PHP 防止远路表单提交-php教程-PHP中文网

PHP 防止远路表单提交

php中文网

发布： 2016-06-13 10:39:02

原创

1232人浏览过

PHP 防止远程表单提交

web 的好处是可以分享信息和服务。坏处也是可以分享信息和服务，因为有些人做事毫无顾忌。
以表单为例。任何人都能够访问一个 web 站点，并使用浏览器上的 file > save as 建立表单的本地副本。然后，他可以修改 action 参数来指向一个完全限定的 url（不指向 formhandler.php，而是指向 http://www.yoursite.com/formhandler.php，因为表单在这个站点上），做他希望的任何修改，点击 submit，服务器会把这个表单数据作为合法通信流接收。
首先可能考虑检查 $_server['http_referer']，从而判断请求是否来自自己的服务器，这种方法可以挡住大多数恶意用户，但是挡不住最高明的黑客。这些人足够聪明，能够篡改头部中的引用者信息，使表单的远程副本看起来像是从您的服务器提交的。
处理远程表单提交更好的方式是，根据一个惟一的字符串或时间戳生成一个令牌，并将这个令牌放在会话变量和表单中。提交表单之后，检查两个令牌是否匹配。如果不匹配，就知道有人试图从表单的远程副本发送数据。
要创建随机的令牌，可以使用 php 内置的 md5()、uniqid() 和 rand() 函数，如下所示：

<span style="font-size: small;"><?php  session_start();    if ($_POST['submit'] == "go"){      //check token      if ($_POST['token'] == $_SESSION['token']){          //strip_tags          $name = strip_tags($_POST['name']);          $name = substr($name,0,40);          //clean out any potential hexadecimal characters          $name = cleanHex($name);          //continue processing....      }else{          //stop all processing! remote form posting attempt!      }  }    $token = md5(uniqid(rand(), true));  $_SESSION['token']= $token;      function cleanHex($input){      $clean = preg_replace("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);      return $clean;  }  ?>      <form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">  <p><label for="name">Name</label>  <input type="text" name="name" id="name" size="20" maxlength="40"/></p>  <input type="hidden" name="token" value="<?php echo $token;?>"/>  <p><input type="submit" name="submit" value="go"/></p>
                    <div class="aritcle_card">
                        <a class="aritcle_card_img" href="/ai/1695">
                            <img src="https://img.php.cn/upload/ai_manual/000/969/633/68b6d41e71b28517.png" alt="Natural Language Playlist">
                        </a>
                        <div class="aritcle_card_info">
                            <a href="/ai/1695">Natural Language Playlist</a>
                            <p>探索语言和音乐之间丰富而复杂的关系，并使用 Transformer 语言模型构建播放列表。</p>
                            <div class="">
                                <img src="/static/images/card_xiazai.png" alt="Natural Language Playlist">
                                <span>67</span>
                            </div>
                        </div>
                        <a href="/ai/1695" class="aritcle_card_btn">
                            <span>查看详情</span>
                            <img src="/static/images/cardxiayige-3.png" alt="Natural Language Playlist">
                        </a>
                    </div>
                  </form>   </span>

登录后复制

?这种技术是有效的，这是因为在 PHP 中会话数据无法在服务器之间迁移。即使有人获得了您的 PHP 源代码，将它转移到自己的服务器上，并向您的服务器提交信息，您的服务器接收的也只是空的或畸形的会话令牌和原来提供的表单令牌。它们不匹配，远程表单提交就失败了。

大家都在看：

php如何清除浏览器cookie_php设置过期时间为过去删除指定cookie php数据整理中如何把数组数据写入excel_php用phpspreadsheet写数组与样式设置为什么PHP调用模板引擎渲染失败_PHP模板引擎渲染失败问题排查与Twig/Blade教程 php中array_reduce累积处理数组_php归约函数实现累加拼接与自定义逻辑 php如何实现无限级分类菜单_php递归构建分类树结构方法