Rumah > php教程 > php手册 > PHP防止远程非法提交表单程序代码

PHP防止远程非法提交表单程序代码

WBOY
Lepaskan: 2016-05-25 16:41:28
asal
935 orang telah melayarinya

防止远程提交表单是一个防止黑客非法远程提交数据来给我们网站造成安全,下面我来介绍在php中防止远程非法提交表单实例.

具体方法

一、PHP防止站外提交数据的方法,代码如下:

<?php 
$servername=$HTTP_SERVER_VARS[&#39;SERVER_NAME&#39;];  
$sub_from=$HTTP_SERVER_VARS["HTTP_REFERER"];  
$sub_len=strlen($servername);  
$checkfrom=substr($sub_from,7,$sub_len);  
if($checkfrom!=$servername){  
    echo("警告!你正在从外部提交数据!!请立即终止!!");  
    exit;  
}  
?>
Salin selepas log masuk

把以上代码放到需要防止外部提交数据的页面中,如果是直接输入网址或者是从外部网部链接到本页,则显示:警告!你正在从外部提交数据,请立即终止,如果系从本站链接或通过表单提交到该页,则无此提示,这样做主要是为了防止一些伪造表单向站内提交数据 .

上面的代码通过curl可直接跳过了,我们可以参考dz论坛登录的一种做法.

处理远程表单提交更好的方式是,根据一个惟一的字符串或时间戳生成一个令牌,并将这个令牌放在会话变量和表单中,提交表单之后,检查两个令牌是否匹配,如果不匹配,就知道有人试图从表单的远程副本发送数据.

要创建随机的令牌,可以使用 PHP 内置的 md5()、uniqid() 和 rand() 函数,如下代码:

<?php 
session_start();     
if ($_POST[&#39;submit&#39;] == "go"){     
    //check token     
    if ($_POST[&#39;token&#39;] == $_SESSION[&#39;token&#39;]){     
        //strip_tags     
        $name = strip_tags($_POST[&#39;name&#39;]);     
        $name = substr($name,0,40);     
        //clean out any potential hexadecimal characters     
        $name = cleanHex($name);     
        //continue processing....     
    }else{     
        //stop all processing! remote form posting attempt!     
    }     
}     
         
$token = md5(uniqid(rand(), true));     
$_SESSION[&#39;token&#39;]= $token;     
function cleanHex($input){     
    $clean = preg_replace("![][xX]([A-Fa-f0-9]{1,3})!", "",$input);     
    return $clean;     
}     
?>
Salin selepas log masuk
<form action="<?php echo $_SERVER[&#39;PHP_SELF&#39;];?>" method="post">     
<p><label for="name">Name</label>     
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>     
<input type="hidden" name="token" value="<?php echo $token;?>"/>     
<p><input type="submit" name="submit" value="go"/></p>     
</form> 
没事把以前写的asp写出来,ASP防止外部提交数据的方法,代码如下:
<%  
Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))  
Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))  
If   mid(server_v1,8,len(server_v2))<>server_v2   then  
     Response.write "警告!你正在从外部提交数据!!请立即终止!!"  
     Response.End  
End if  
%>
Salin selepas log masuk

                               


文章链接:

随便收藏,请保留本文地址!

sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Cadangan popular
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan