向高手求教：php post提交问题

php post提交

小虾做了一个程序：通过Ajax 技术调用后台PHP的执行过程 向Mysql写数据库，功能是实现了。
后来发现有用户通过 url直接拼凑参数手工通过网址输入方式调用php的执行过程。
问题1： 有什么好的办法可以禁止直接手工通过网址向后台提交呢？
我查了一些帮助，大意是提交前：通过时间t向后台提交获得相对应的加密键值k1,
在正式提交时，将t与k1都提交，后台通过t重新加密得出k2，如果k1与k2相同，则执行写入数据库过程。
问题2：这种方式，增加了获取键值k1这个过程，肯定比不获取k1多费时间。 有什么办法规避呢？
问题3：获取加密键值k1这个过程又如何保证不被别人直接手工通过网址向后台调用呢？
恳请高人指点！
谢谢先！

回复讨论(解决方案)

我一般是这么干的

具体的代码

然后就没有了，就是把最后的“?>”去掉了，这样直接提交过来的页面会因为语法错误而执行不了

我一般是这么干的

具体的代码

然后就没有了，就是把最后的“?>”去掉了，这样直接提交过来的页面会因为语法错误而执行不了
-------
这个解决方法有点“偏方”的味道。。。，
真诚感谢回复！

说实话B/S架构很难避免server端接收的数据一定是由你希望的Browser端发送过来的，毕竟server端只是提供一个页面供客户端请求，接收请求后开始运行。就算是用session验证登录也可以被模拟，所以很难做到接收的数据一定是由你返回页面所产生的，至少我没想到有什么办法，呵呵。
建议在表单上添加一些hidden，通过验证hidden的值来判断（类似楼主所提的方法），但这些方法还是可以被模拟的，只能防范技术较低的人。

我不知道有防范这种调用方式的方法. 毕竟接口写出来就是让用的,只要符合规则让它调用就是了,接口内尽量写的安全些..

关于少写?>xuzuning版大讲过,这样才是更规范更合适的写法, PHP会自动把最后一行后边的换行和空格全部删掉.至于是否对楼主的问题有效就不清楚了,.

使用sesseion可以防止恶意注入数据，具体方法： http://www.ibihuo.com/show-60.html

你的后台是不需要登录的么？

to anglegz : 你从高度回复了我的疑惑， 不过我的应用都是B/S的，改成 B/C的目前不可能；
to anyilaoliu : 接口写安全些是一个解决方案， 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台；
to ahui_lcm: 是需要登录的，目前是登录后的用户(不登录是不能提交的)，在同一台机器上再开一个相同的浏览器，手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash；
”，如何保证写session的存储过程不被用户单独调用呢？ 我的理解写session过程也是 带参数的post提交，这也可以通过手工在地址栏提交， 是不是我理解得不对？
多谢各位， 还有没有其它建议?

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次， 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中，就又会有手工网址方式输入的方式对输入变量作假了。 哎， 不还是有漏洞么!?

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次， 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中，就又会有手工网址方式输入的方式对输入变量作假了。 哎， 不还是有漏洞么!?





如果手工输入的变量都是符合要求的 应该不会担心吧?

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次， 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中，就又会有手工网址方式输入的方式对输入变量作假了。 哎， 不还是有漏洞么!?





如果手工输入的变量都是符合要求的 应该不会担心吧?
-----------------------------------
手工输入的变量都是符合要求的，自然没有问题。 问题是用户提交“非法”数据。

各位大拿， 还有没有无漏洞的方案呢？
目前依据我的判断， 用户已经可以获取到"hidden" 变量值的。

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据 你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据 你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...
--------------------
“非法”结论是通过后来人工分析数据得出的。
按照你的说法， 就是在现有js 检查判断“提交数据值”基础上， 将相应的核查重新在php上再进行一次。这个方案我觉得可以尝试一下， 前提条件是：我能够依据后台已经有的数据重新推导出前台用于判断的参数变量，而不是将前台参数变量直接提交到数据库中后使用。
此方法值得一试！ 这样就不需要在session中记录加密键值什么的了。

必须不能直接进数据库 进数据库之前要检测下是否有可能引起注入攻击的代码

除非是个人测试站,没有直接入库的.

to anglegz : 你从高度回复了我的疑惑， 不过我的应用都是B/S的，改成 B/C的目前不可能；
to anyilaoliu : 接口写安全些是一个解决方案， 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台；
to ahui_lcm: 是需要登录的，目前是登录后的用户(不登录是不能提交的)，在同一台机器上再开一个相同的浏览器，手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash；
”，如何保证写session的存储过程不被用户单独调用呢？ 我的理解写session过程也是 带参数的post提交，这也可以通过手工在地址栏提交， 是不是我理解得不对？
多谢各位， 还有没有其它建议? session是后台随机生成的，不会受到用户的干扰，discuz也是用的这种办法，他的很多操作都有formharsh值，就是这个原理

最近我正在写这么一个东西， 目前没有很好的办法，参数都可以模拟，后台你如何限制呢，参数又都是合法的

这样的一般 csrf

地址栏上的参数，能用$_POST取的到？你在程序里用$_POST接收表单传过来的数据。如果他用地址栏直接输入参数，难道$_POST会接收到？

模拟是另一种需求，绝对防止是不可能的。

增加难度是可以的。与需求

我一般是这么干的

具体的代码

然后就没有了，就是把最后的“?>”去掉了，这样直接提交过来的页面会因为语法错误而执行不了
没看懂

to y244360439: session是后台随机生成的，不会受到用户的干扰，discuz也是用的这种办法，他的很多操作都有formharsh值，就是这个原理
---------------------------
我想找个类似的参考一下，
只找到了 SWFUpload 的源码，它的处理为：
1）前台调用页面的JS 中对URL参数赋值："PHPSESSID" : ""
2）在后台执行脚本中对sessionid检查并赋值：
// Code for Session Cookie workaround
if (isset($_POST["PHPSESSID"])) {
session_id($_POST["PHPSESSID"]);
} else if (isset($_GET["PHPSESSID"])) {
session_id($_GET["PHPSESSID"]);
}
真心没有找到在JS中如何实现"sesseion存储起来,$_SESSEION['hash'] = $hash”? 可否指导一下具体如何操作？ 不行下载discuz源码在琢磨一下。
to ahui_lcm: 看了提交代码，获取变量都是通过 $_REQUEST[‘xxx']方式的，后面改$_POST，应该是代码一大改进。我这个现学现卖的半吊子 漏马甲了 ：）

做进一步的说明，你可以再看下，不明白可以在网站上q我， http://www.ibihuo.com/show-60.html

你可以自己?一?加密解密函?,例如:
ajax提交到??的一?url http://localhost/a.php?key=REWTR54365EY&val=??

其中key的值是使用php的加密函?加密之後的?容(例如:自定?加密函?("要提交的?果")),提交到a.php之後用解密函?得到key的值(然後和要提交的?果作比?),看看是否符合本次提交的需求

其实可以用加密键，同样post到接受页面，在接受页面解密和验证key，

使用$_SERVER["HTTP_REFERER"]判断是不是来自你的页面。伪造$_SERVER["HTTP_REFERER"]是违法的。技术上没有破解不了的东西。

做进一步的说明，你可以再看下，不明白可以在网站上q我， http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法， 提交加密通过Ajax的变量 data: "hash="+hash 来实现， 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法（我的前台与被调用的后台是分在不同的2个文件中的）。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用， 个人觉得这种获取过程降低了提交效率，同时也可能会泄密。
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢？ 不胜感激！

1、只用 $_POST 接受提交，可使url参数无效
2、在 cookie 中，置入识别字（包括sessionid）。但cookie可轻易获取，不能确保安全
3、利用js提交（包括动态加入识别字）。一般工具不会执行js，情况会有些好转。但不能排除人工跟踪后进行通讯干预

1、只用 $_POST 接受提交，可使url参数无效
2、在 cookie 中，置入识别字（包括sessionid）。但cookie可轻易获取，不能确保安全
3、利用js提交（包括动态加入识别字）。一般工具不会执行js，情况会有些好转。但不能排除人工跟踪后进行通讯干预
---------------------------------------
1、只用 $_POST 接受提交，可使url参数无效
----> 前面ahui_lcm 提到过， 已经修改了，对于对付手工地址非法输入确实有效。
2、在 cookie 中，置入识别字（包括sessionid）。但cookie可轻易获取，不能确保安全
----> 后面可以加进去，虽然不确保安全， 也算是增加被攻破的难度。
3、利用js提交（包括动态加入识别字）。
----> 增加识别字， 考虑过增加验证码的识别方法，后来觉得用户操作会变得多一步，影响用户使用感受， 目前暂不考虑此方法了。
集思广益， 多谢各位回复 ！

1、只用 $_POST 接受提交，可使url参数无效
2、在 cookie 中，置入识别字（包括sessionid）。但cookie可轻易获取，不能确保安全
3、利用js提交（包括动态加入识别字）。一般工具不会执行js，情况会有些好转。但不能排除人工跟踪后进行通讯干预

我是php新手，版主能否详细说一下2,3条是什么意思？

做进一步的说明，你可以再看下，不明白可以在网站上q我， http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法， 提交加密通过Ajax的变量 data: "hash="+hash 来实现， 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法（我的前台与被调用的后台是分在不同的2个文件中的）。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用， 个人觉得这种获取过程降低了提交效率，同时也可能会泄密。
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢？ 不胜感激！

通过模板引擎把hash值付给前台模板