简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Home
Article
Q&A
Course
Topic
Download
Game
Dictionary
Recent Updates

Home  >  Article  >  php教程  >  PHP防止远程非法提交表单程序代码

PHP防止远程非法提交表单程序代码

WBOY
WBOYOriginal
2016-05-25 16:41:28881browse

防止远程提交表单是一个防止黑客非法远程提交数据来给我们网站造成安全,下面我来介绍在php中防止远程非法提交表单实例.

具体方法

一、PHP防止站外提交数据的方法,代码如下:

<?php 
$servername=$HTTP_SERVER_VARS[&#39;SERVER_NAME&#39;];  
$sub_from=$HTTP_SERVER_VARS["HTTP_REFERER"];  
$sub_len=strlen($servername);  
$checkfrom=substr($sub_from,7,$sub_len);  
if($checkfrom!=$servername){  
    echo("警告!你正在从外部提交数据!!请立即终止!!");  
    exit;  
}  
?>

把以上代码放到需要防止外部提交数据的页面中,如果是直接输入网址或者是从外部网部链接到本页,则显示:警告!你正在从外部提交数据,请立即终止,如果系从本站链接或通过表单提交到该页,则无此提示,这样做主要是为了防止一些伪造表单向站内提交数据 .

上面的代码通过curl可直接跳过了,我们可以参考dz论坛登录的一种做法.

处理远程表单提交更好的方式是,根据一个惟一的字符串或时间戳生成一个令牌,并将这个令牌放在会话变量和表单中,提交表单之后,检查两个令牌是否匹配,如果不匹配,就知道有人试图从表单的远程副本发送数据.

要创建随机的令牌,可以使用 PHP 内置的 md5()、uniqid() 和 rand() 函数,如下代码:

<?php 
session_start();     
if ($_POST[&#39;submit&#39;] == "go"){     
    //check token     
    if ($_POST[&#39;token&#39;] == $_SESSION[&#39;token&#39;]){     
        //strip_tags     
        $name = strip_tags($_POST[&#39;name&#39;]);     
        $name = substr($name,0,40);     
        //clean out any potential hexadecimal characters     
        $name = cleanHex($name);     
        //continue processing....     
    }else{     
        //stop all processing! remote form posting attempt!     
    }     
}     
         
$token = md5(uniqid(rand(), true));     
$_SESSION[&#39;token&#39;]= $token;     
function cleanHex($input){     
    $clean = preg_replace("![][xX]([A-Fa-f0-9]{1,3})!", "",$input);     
    return $clean;     
}     
?>
<form action="<?php echo $_SERVER[&#39;PHP_SELF&#39;];?>" method="post">     
<p><label for="name">Name</label>     
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>     
<input type="hidden" name="token" value="<?php echo $token;?>"/>     
<p><input type="submit" name="submit" value="go"/></p>     
</form> 
没事把以前写的asp写出来,ASP防止外部提交数据的方法,代码如下:
<%  
Server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))  
Server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))  
If   mid(server_v1,8,len(server_v2))<>server_v2   then  
     Response.write "警告!你正在从外部提交数据!!请立即终止!!"  
     Response.End  
End if  
%>

                               


文章链接:

随便收藏,请保留本文地址!

Statement:
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Previous article:php预防XSS攻击的一些方法整理 Next article:PHP用PDO防Sql注入注意事项

Related articles

See more