suchen

Heim  >  Artikel  >  Backend-Entwicklung  >  Ausführliche Erläuterung des PHP-Beispiels „PHP Curl mit CSRF-Token-Überprüfungssimulationsübermittlungsmethode'.

Ausführliche Erläuterung des PHP-Beispiels „PHP Curl mit CSRF-Token-Überprüfungssimulationsübermittlungsmethode'.

jacklove
jackloveOriginal
2018-06-27 17:39:371647Durchsuche

In diesem Artikel wird hauptsächlich die detaillierte Erklärung der simulierten Übermittlungsmethode von PHP Curl mit CSRF-Token-Überprüfung vorgestellt. Der Herausgeber findet sie recht gut, daher werde ich sie jetzt mit Ihnen teilen und als Referenz verwenden. Folgen wir dem Editor und werfen wir einen Blick darauf

Normalerweise wird dem Formular aus Sicherheitsgründen ein zufälliger Tokenwert hinzugefügt, um CSRF-Angriffe zu verhindern.

Es ist eigentlich nicht schwierig, das Einreichen einer Website mit Token-Verifizierung zu simulieren.

1. Token durch regulären Ausdruck erhalten
2. Übermittlung mit dem erhaltenen Token

Das Folgende ist ein erfolgreiches Beispiel

Tabelle von Inhaltsstruktur

│ form.php –需要模拟的表单 
│ getForm.php – 模拟提交程序 
│ post.php –表单验证程序 
│ 
└─cookie – cookie存放目录

getForm.php

<?php
$cookie_file = &#39;./cookie/&#39;.time().&#39;.cookie&#39;;
$str = getResponse(&#39;http://a.curl.com:81/form.php&#39;,[],$cookie_file);
setcookie("PHPSESSID", "vc0heoa6lfsi3gger54pkns152");
preg_match(&#39;/<input name="token" type="hidden" value="(.*)"/U&#39;, $str, $match);

$post[&#39;token&#39;] = $match[1];
$post[&#39;name&#39;] = &#39;3333333&#39;;
$post[&#39;password&#39;] = &#39;12121213&#39;;
print_r(getResponse(&#39;http://a.curl.com:81/post.php&#39;, $post, $cookie_file));

function getResponse($url, $data=[], $cookie_file=&#39;&#39;, $timeout = 3)
  {
    if(empty($cookie_file))
    {
      $cookie_file = &#39;.cookie&#39;;
    }

    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_REFERER, "https://www.baidu.com");  //构造来路
    curl_setopt($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36");

    if(!empty($data))
    {
      curl_setopt($ch, CURLOPT_POST, true);
      curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
    }
    curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file);// 取cookie的参数是
    curl_setopt ($ch, CURLOPT_COOKIEFILE, $cookie_file); //发送cookie
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    try
    {
       $handles = curl_exec($ch);
       curl_close($ch);
       return $handles;
    }
    catch (Exception $e)
    {
      echo &#39;Caught exception: &#39;, $e->getMessage(), "\n";
    }
    unlink($cookie_file);
  }

form.php

<?php
session_start();
$_SESSION[&#39;token&#39;] = md5($_SERVER[&#39;REQUEST_TIME&#39;]);
$_SESSION[&#39;time&#39;] = date("Y-m-d H:i:s");
session_write_close();
//echo $_SESSION[&#39;auth&#39;];
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <title> new document </title>
 <meta name="generator" content="editplus" />
 <meta name="author" content="" />
 <meta name="keywords" content="" />
 <meta name="description" content="" />
 </head>
 <body>
<form action="post.php" method="post">
  <p><input name="name" type="text"></p>
  <p><input name="password" type="password"></p>
  <p><input name="token" type="hidden" value="<?php echo $_SESSION[&#39;token&#39;]?>"></p>
  <p><input type="submit"></p>
</form>
 </body>
</html>

post.php

<?php
session_start();
if(empty($_POST[&#39;token&#39;]))
{
  exit ("token is empty!");
}

if(empty($_SESSION[&#39;token&#39;]))
{
 exit ("session is empty");
}

if($_POST[&#39;token&#39;] != $_SESSION[&#39;token&#39;])
{
  exit ("token ");
} else
{
  unset($_SESSION[&#39;token&#39;]);
}

echo PHP_EOL;
echo "pass";
print_r($_REQUEST);

echo PHP_EOL;
print_r($_SERVER);

Das Obige ist der gesamte Inhalt dieses Artikels, Ich hoffe, dass es für alle nützlich sein wird. Das Lernen ist hilfreich und ich hoffe, dass jeder die chinesische PHP-Website unterstützen wird.

Artikel, die Sie interessieren könnten:

PHP-Iterator und Iterationsimplementierung und Nutzungsanalyse PHP-Kenntnisse

PHP betreibt MongoDB, um die Funktionen zum Hinzufügen, Löschen, Ändern und Abfragen von PHP-Kenntnissen zu implementieren

PHP betreibt Redis, Zusammenfassung allgemeiner Fertigkeiten, PHP-Fähigkeiten

Das obige ist der detaillierte Inhalt vonAusführliche Erläuterung des PHP-Beispiels „PHP Curl mit CSRF-Token-Überprüfungssimulationsübermittlungsmethode'.. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

php csrf cURL Token redis mongodb
Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:PHP-Iterator- und Iterationsimplementierung sowie PHP-Kenntnisse zur NutzungsanalyseNächster Artikel:PHP-Iterator- und Iterationsimplementierung sowie PHP-Kenntnisse zur Nutzungsanalyse

In Verbindung stehende Artikel

Mehr sehen