• 技术文章 >后端开发 >php教程

    php通过session防url攻击方法_PHP

    2016-05-31 18:15:34原创272
    本文实例讲述了php通过session防url攻击方法。分享给大家供大家参考。具体实现方法如下:

    通过session跟踪,可以很方便地避免url攻击的发生,php采用session防url攻击方法代码如下:

    代码如下:

    <?php
    session_start();
    $clean = array();
    $email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';
    if (preg_match($email_pattern, $_POST['email']))
    {
    $clean['email'] = $_POST['email'];
    $user = $_SESSION['user'];
    $new_password = md5(uniqid(rand(), TRUE));
    if ($_SESSION['verified'])
    {
    /* Update Password */
    mail($clean['email'], 'Your New Password', $new_password);
    }
    }
    ?>


    使用时URL可设置如下:
    http://example.org/reset.php?user=php&email=chris%40example.org

    如果reset.php信任了用户提供的这些信息,这就是一个语义URL 攻击漏洞,在此情况下,系统将会为php 帐号产生一个新密码并发送至chris@example.org,这样chris 成功地窃取了php 帐号.

    希望本文所述对大家的PHP程序设计有所帮助。

    声明:本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn核实处理。
    专题推荐:php session url 攻击
    上一篇:完美解决thinkphp验证码出错无法显示的方法_PHP 下一篇:ThinkPHP中url隐藏入口文件后接收alipay传值的方法_PHP
    千万级数据并发解决方案

    相关文章推荐

    • 什么是php-fpm?如何进行优化来提升性能?• 实例详解怎么用PHP实现简易的MVC框架• 消息队列RabbitMQ入门与PHP实例详解• 看不懂这两行代码啊 请教下• PHP开发者常犯的MySQL错误
    1/1

    PHP中文网

    首页 首页课程 课程文章文章问答 问答博客博客词典 词典手册 手册资源 资源搜索 搜索APP下载 APP下载