Maison > Article > développement back-end > Le formulaire PHP empêche les soumissions répétées (vulnérabilité anti-csrf)
Le formulaire PHP empêche les soumissions répétées (vulnérabilité anti-csrf)
- 不言original
- 2018-04-20 11:44:013743parcourir
Le contenu de cet article vise à empêcher la soumission répétée de formulaires PHP (en évitant les vulnérabilités CSRF). Il a une certaine valeur de référence. Maintenant, je le partage avec vous. Les amis dans le besoin peuvent s'y référer
Jeton Une brève discussion <span style="margin:0px;padding:0px;"></span>
Le jeton est un jeton. Sa plus grande caractéristique est le caractère aléatoire et l'imprévisibilité. Les pirates informatiques ou logiciels normaux ne peuvent pas le deviner.
Alors, quelle est la fonction du Token ? Quel est le principe ?
Le jeton est généralement utilisé à deux endroits : pour empêcher les soumissions répétées de formulaires et les attaques anti-csrf (falsification de requêtes intersites).
Les deux sont en principe implémentés via des jetons de session. Lorsque le client demande une page, le serveur génère un jeton à nombre aléatoire, place le jeton dans la session, puis envoie le jeton au client (généralement en construisant un formulaire caché). La prochaine fois que le client soumettra une demande, le jeton sera soumis au serveur avec le formulaire.
Ensuite, s'il est appliqué à une "attaque anti-csrf", le serveur vérifiera la valeur du jeton pour déterminer si elle est égale à la valeur du jeton dans la session. Si elle est égale, la requête peut. être prouvé valide, pas faux.
Cependant, s'il est utilisé pour "empêcher la soumission répétée de formulaires", après la première vérification de celui-ci côté serveur, la valeur du jeton dans la session sera mise à jour si. l'utilisateur soumet à plusieurs reprises, le jugement de vérification secondaire échouera car le jeton dans le formulaire soumis par l'utilisateur n'a pas changé, mais le jeton dans la session côté serveur a changé.
L'application de session ci-dessus est relativement sûre, mais elle est également fastidieuse, lorsqu'il y a plusieurs pages et plusieurs requêtes, la méthode de génération de plusieurs jetons en même temps. doit être utilisé, ce qui consomme plus de ressources et réduit l’efficacité de l’exécution. Par conséquent, la méthode de stockage des informations de vérification dans les cookies peut également être utilisée à la place du jeton de session. Par exemple, lorsqu'il s'agit de « soumissions répétées », les informations soumises seront écrites dans le cookie après la première soumission. Lors de la deuxième soumission, puisque le cookie a déjà un enregistrement de soumission, la deuxième soumission échouera.
Cependant, le stockage des cookies présente une faiblesse fatale. Si le cookie est piraté (les attaques XSS peuvent facilement obtenir les cookies des utilisateurs), il y aura alors une autre partie. Les pirates mettront directement en œuvre les attaques CSRF.
1. Empêchez d'abord les attaques XSS
2. Vérifiez le référent
3. Les paramètres de cookies importants sont uniquement https, tels que le jeton
4 . Utilisez Signature, jeton
5. get n'est utilisé que pour interroger des informations
6. Utilisez post pour soumettre le formulaire
7. . Utilisez le texte croisé avec prudence Injection de script
La sécurité et l'efficacité sont donc relatives. Examinons en détail des problèmes spécifiques.
Ajouter un Token au formulaire php pour éviter les soumissions répétées
Le principe est de générer un aléatoire chaîne et mettez-la dans la session Ici, vérifier cette chaîne après avoir soumis le formulaire peut empêcher d'autres personnes d'écrire le formulaire eux-mêmes pour tromper la soumission, répéter la soumission ou double-cliquer sur la soumission.
Le code simple implémenté en php est le suivant :
<?php
/*
* PHP简单利用token防止表单重复提交
* 此处理方法纯粹是为了给初学者参考
*/
session_start();
function set_token() {
$_SESSION['token'] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST['token'] === $_SESSION['token'] ? true : false;
set_token();
return $return;
}
//如果token为空则生成一个token
if(!isset($_SESSION['token']) || $_SESSION['token']=='') {
set_token();
}
if(isset($_POST['test'])){
if(!valid_token()){
echo "token error";
}else{
echo '成功提交,Value:'.$_POST['test'];
}
}
?>
<form method="post" action="">
<input type="hidden" name="token" value="<?php echo $_SESSION['token']?>">
<input type="text" name="test" value="Default">
<input type="submit" value="提交" />
</form>
|
上面的比较简单一点的方法,下面的代码更加安全一点。
Token.php
<?php
/*
* Created on 2013-3-25
*
* To change the template for this generated file go to
* Window - Preferences - PHPeclipse - PHP - Code Templates
*/
function getToken($len = 32, $md5 = true) {
# Seed random number generator
# Only needed for PHP versions prior to 4.2
mt_srand((double) microtime() * 1000000);
# Array of characters, adjust as desired
$chars = array (
'Q',
'@',
'8',
'y',
'%',
'^',
'5',
'Z',
'(',
'G',
'_',
'O',
'`',
'S',
'-',
'N',
'<',
'D',
'{',
'}',
'[',
']',
'h',
';',
'W',
'.',
'/',
'|',
':',
'1',
'E',
'L',
'4',
'&',
'6',
'7',
'#',
'9',
'a',
'A',
'b',
'B',
'~',
'C',
'd',
'>',
'e',
'2',
'f',
'P',
'g',
')',
'?',
'H',
'i',
'X',
'U',
'J',
'k',
'r',
'l',
'3',
't',
'M',
'n',
'=',
'o',
'+',
'p',
'F',
'q',
'!',
'K',
'R',
's',
'c',
'm',
'T',
'v',
'j',
'u',
'V',
'w',
',',
'x',
'I',
'$',
'Y',
'z',
'*'
);
# Array indice friendly number of chars;
$numChars = count($chars) - 1;
$token = '';
# Create random token at the specified length
for ($i = 0; $i < $len; $i++)
$token .= $chars[mt_rand(0, $numChars)];
# Should token be run through md5?
if ($md5) {
# Number of 32 char chunks
$chunks = ceil(strlen($token) / 32);
$md5token = '';
# Run each chunk through md5
for ($i = 1; $i <= $chunks; $i++)
$md5token .= md5(substr($token, $i * 32 - 32, 32));
# Trim the token
$token = substr($md5token, 0, $len);
}
return $token;
}
?>
|
<?php
include_once("token.php");
$token = getToken();
session_start();
$_SESSION['token'] = $token;
?>
<form action="action.php" method="post"
<input type="hidden" name="token" value="<?=$token?>" />
<!-- 其他input submit之类的 -->
</form><span style="margin:0px;padding:0px;"><p style="margin-bottom:0px;clear:both;min-height:1em;color:rgb(62,62,62);font-family:'Helvetica Neue', Helvetica, 'Hiragino Sans GB', 'Microsoft YaHei', Arial, sans-serif;line-height:25.6px;background-color:rgb(255,255,255);"></p></span>
<?php
session_start();
if($_POST['token'] == $_SESSION['token']){
unset($_SESSION['token']);
echo "这是一个正常的提交请求";
}else{
echo "这是一个非法的提交请求";
}
?>
|
<span style="margin:0px;padding:0px;"></span>
action.php
|
<span style="margin:0px;padding:0px;"></span>
Le problème de l'utilisation de variables pour représenter la valeur du nom du formulaire PHP
Explication détaillée de l'exemple de téléchargement asynchrone iframe de fichier de formulaire php
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Articles Liés
Voir plus- Comment utiliser cURL pour implémenter les requêtes Get et Post en PHP
- Comment utiliser cURL pour implémenter les requêtes Get et Post en PHP
- Comment utiliser cURL pour implémenter les requêtes Get et Post en PHP
- Comment utiliser cURL pour implémenter les requêtes Get et Post en PHP
- Tous les symboles d'expression dans les expressions régulières (résumé)