Maison  >  Article  >  développement back-end  >  PHP empêche le code d'attaque CC PHP empêche l'actualisation fréquente des pages Web

PHP empêche le code d'attaque CC PHP empêche l'actualisation fréquente des pages Web

不言
不言original
2018-06-02 14:11:532202parcourir

Cet article présente principalement PHP pour empêcher le code d'attaque CC et PHP pour empêcher les actualisations fréquentes des pages Web, les actualisations rapides et malveillantes des pages Web, les attaques CC utilisent des serveurs proxy pour générer des requêtes légitimes vers le site cible et simuler l'accès continu de plusieurs utilisateurs. le site Web de la victime. , les amis intéressés peuvent étudier

Actualisation malveillante rapide des pages Web, l'attaque cc consiste dans le fait que l'attaquant utilise le serveur proxy pour générer des requêtes légitimes dirigées vers le site cible, simulant plusieurs utilisateurs pour accéder en continu à la victime. Le site Web, en particulier l'accès à des pages qui nécessitent une grande quantité d'opérations de données et nécessitent une grande quantité de temps CPU, entraînera finalement l'épuisement des ressources du serveur du site Web cible jusqu'à ce qu'il tombe en panne. Cela entraînera un gaspillage des ressources du serveur et le processeur sera épuisé. 100 % pendant une longue période, et il y a toujours un traitement. Des connexions sans fin se produisent jusqu'à ce que le réseau soit encombré et que l'accès normal soit terminé. Nous appelons cela une attaque CC. Bien que nous puissions utiliser certains logiciels anti-attaques pour y parvenir, l’effet n’est parfois pas évident.

Ci-dessous, je fournis un morceau de code PHP qui peut empêcher les attaques CC dans une certaine mesure.
Fonctions principales : Actualiser continuellement la page plus de 5 fois en 3 secondes pointera vers le http://127.0.0.1 local
Mettez simplement ce code sur la page qui doit empêcher CC attaques.
Code source

<?php
$timestampcc = time();
$cc_nowtime = $timestampcc;
if(session_is_registered(&#39;cc_lasttime&#39;)){
 $cc_lasttime = $_SESSION[&#39;cc_lasttime&#39;];
 $cc_times = $_SESSION[&#39;cc_times&#39;]+1;
 $_SESSION[&#39;cc_times&#39;] = $cc_times;
}else{
 $cc_lasttime = $cc_nowtime;
 $cc_times = 1;
 $_SESSION[&#39;cc_times&#39;] = $cc_times;
 $_SESSION[&#39;cc_lasttime&#39;] = $cc_lasttime;
} 
if(($cc_nowtime-$cc_lasttime)<3){//3秒内刷新5次以上可能为cc攻击
 if($cc_times>=5){
 echo &#39;刷新太快!&#39;;
 exit;
 }
}else{
 $cc_times = 0;
 $_SESSION[&#39;cc_lasttime&#39;] = $cc_nowtime;
 $_SESSION[&#39;cc_times&#39;] = $cc_times;
} 
?>

Ce qui suit est une méthode efficace pour prévenir les attaques CC en PHP pour tout le monde :

1.session record
submit.php est la page d'envoi. Définissez une variable de session sur cette page et envoyez-la à la page submitdeal.php en tant que champ et formulaire cachés côté serveur. la variable cachée Comparez-la avec la variable de session enregistrée côté serveur. Par exemple, si elle est la même, écrivez-la dans la base de données et effacez la session de cette façon, lorsque l'utilisateur actualise la page, si les deux valeurs ​. ne sont pas égaux, une erreur ou un saut sera demandé.
Avantages : Pas besoin pour les utilisateurs de saisir des codes de vérification
Inconvénients : Le formulaire est facilement copié
2 .Code de vérification
Le principe est le même que le premier, sauf que les données de session ne sont pas soumises sous forme de champ caché, mais sont renseignées par l'utilisateur. La plupart des sites Web utilisent des codes de vérification textuels. et les codes de vérification d'image, et les codes de vérification d'image sont hautement sécurisés.

3. Liaison IP
Après avoir soumis les données, récupérez d'abord l'adresse IP du client dans la table IP. S'il y en a une et qu'elle n'a pas expiré, une erreur sera signalée. , sinon il sera écrit dans la base de données, puis récupérez l'adresse IP de la chambre d'amis et écrivez l'adresse IP dans la base de données.
4. Cookie :Après la soumission du client, le programme de traitement recherche d'abord si le client a défini un cookie. Si tel est le cas, il ne le soumettra pas à nouveau, sinon il écrira les données ; écrire un cookie ;
Exemple :

Les sauts et requêtes fréquents et insignifiants des utilisateurs imposeront une lourde charge au serveur. En fait, l'utilisation de cookies peut empêcher cela.

<?php 
error_reporting(0); 
//if($_COOKIE["ck"])die("刷新过快!"); 
if($_COOKIE["ck"])header("Location:http://www.baidu.com");//这里如果用户刷新过快,给予终止php脚本或者直接302跳转 
setcookie("ck","1",time()+3);//设定cookie存活时间3s 
echo "hello!"; 
?>

Méthode 1 :

<?php  
session_start();  
$k=$_GET[&#39;k&#39;];  
$t=$_GET[&#39;t&#39;];  
$allowTime = 1800;//防刷新时间  
$ip = get_client_ip();  
$allowT = md5($ip.$k.$t);  
if(!isset($_SESSION[$allowT]))  
{  
 $refresh = true;  
 $_SESSION[$allowT] = time();  
}elseif(time() - $_SESSION[$allowT]>$allowTime){  
 $refresh = true;  
 $_SESSION[$allowT] = time();  
}else{  
 $refresh = false;  
}  
?>

Méthode 2 :

<? 
session_start(); 
if(!emptyempty($_POST[name])){ 
 $data = $_POST[name]; 
 $tag = $_POST[tag]; 
 if($_SESSION[status]==$tag){ 
 echo $data; 
 }else{ 
 echo "不允许刷新!"; 
 } 
} 
$v = mt_rand(1,10000); 
?> 
<form method="post" name="magic" action="f5.php"><input type="hidden" 
name="tag" value="<?=$v?>"><input type=text name="name"><input type="submit" value="submit"> 
</form> 
<? 
echo $v; 
$_SESSION[status] = $v; 
?>

Méthode 3 :

<? 
session_start(); 
if(!emptyempty($_POST[name])){ 
 $data = $_POST[name]; 
 $tag = $_POST[tag]; 
 if($_SESSION[status]==$tag){ 
 echo $data; 
 }else{ 
 echo "不允许刷新!"; 
 } 
} 
$v = mt_rand(1,10000); 
?> 
<form method="post" name="magic" action="f5.php"><input type="hidden" 
name="tag" value="<?=$v?>"><input type=text name="name"><input type="submit" value="submit"> 
</form> 
<? 
echo $v; 
$_SESSION[status] = $v; 
?>

Ce qui précède présente différentes manières pour PHP de prévenir les attaques CC. J'espère que cela pourra aider tout le monde à empêcher les actualisations rapides et malveillantes des pages Web.

Recommandations associées :

Méthode de ThinkPHP pour empêcher l'envoi répété de formulaires

Explication de la méthode de PHP pour empêcher l'injection SQL

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn