Heim > php教程 > php手册 > PHP防止远程非法提交表单程序代码

PHP防止远程非法提交表单程序代码

WBOY
Freigeben: 2016-05-25 16:41:28
Original
934 Leute haben es durchsucht

防止远程提交表单是一个防止黑客非法远程提交数据来给我们网站造成安全,下面我来介绍在php中防止远程非法提交表单实例.

具体方法

一、PHP防止站外提交数据的方法,代码如下:

<?php 
$servername=$HTTP_SERVER_VARS[&#39;SERVER_NAME&#39;];  
$sub_from=$HTTP_SERVER_VARS["HTTP_REFERER"];  
$sub_len=strlen($servername);  
$checkfrom=substr($sub_from,7,$sub_len);  
if($checkfrom!=$servername){  
    echo("警告!你正在从外部提交数据!!请立即终止!!");  
    exit;  
}  
?>
Nach dem Login kopieren

把以上代码放到需要防止外部提交数据的页面中,如果是直接输入网址或者是从外部网部链接到本页,则显示:警告!你正在从外部提交数据,请立即终止,如果系从本站链接或通过表单提交到该页,则无此提示,这样做主要是为了防止一些伪造表单向站内提交数据 .

上面的代码通过curl可直接跳过了,我们可以参考dz论坛登录的一种做法.

处理远程表单提交更好的方式是,根据一个惟一的字符串或时间戳生成一个令牌,并将这个令牌放在会话变量和表单中,提交表单之后,检查两个令牌是否匹配,如果不匹配,就知道有人试图从表单的远程副本发送数据.

要创建随机的令牌,可以使用 PHP 内置的 md5()、uniqid() 和 rand() 函数,如下代码:

<?php 
session_start();     
if ($_POST[&#39;submit&#39;] == "go"){     
    //check token     
    if ($_POST[&#39;token&#39;] == $_SESSION[&#39;token&#39;]){     
        //strip_tags     
        $name = strip_tags($_POST[&#39;name&#39;]);     
        $name = substr($name,0,40);     
        //clean out any potential hexadecimal characters     
        $name = cleanHex($name);     
        //continue processing....     
    }else{     
        //stop all processing! remote form posting attempt!     
    }     
}     
         
$token = md5(uniqid(rand(), true));     
$_SESSION[&#39;token&#39;]= $token;     
function cleanHex($input){     
    $clean = preg_replace("![][xX]([A-Fa-f0-9]{1,3})!", "",$input);     
    return $clean;     
}     
?>
Nach dem Login kopieren
<form action="<?php echo $_SERVER[&#39;PHP_SELF&#39;];?>" method="post">     
<p><label for="name">Name</label>     
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>     
<input type="hidden" name="token" value="<?php echo $token;?>"/>     
<p><input type="submit" name="submit" value="go"/></p>     
</form> 
没事把以前写的asp写出来,ASP防止外部提交数据的方法,代码如下:
<%  
Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))  
Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))  
If   mid(server_v1,8,len(server_v2))<>server_v2   then  
     Response.write "警告!你正在从外部提交数据!!请立即终止!!"  
     Response.End  
End if  
%>
Nach dem Login kopieren

                               


文章链接:

随便收藏,请保留本文地址!

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Empfehlungen
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage