Maison > Questions et réponses > le corps du texte

Questions sur la légalité

Je suis un débutant et un problème de sécurité m'est soudainement apparu lorsque j'écrivais du code aujourd'hui.

Pour diverses requêtes ajax, les pirates peuvent-ils soumettre du code en externe ? Parce que le navigateur de fichiers JS peut le voir, c'est-à-dire qu'il peut connaître votre code. Ainsi, si un pirate informatique utilise notre nom de domaine pour le soumettre en externe, PHP peut-il déterminer s'il est légal ? Par exemple, déterminer si nos propres fichiers ont été soumis ?

Par exemple, mon fichier js a un code

$('input').click(function(){
    $.post('index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
})
那么如果黑客通过外部提交
xxxxxxxxxxx
$('input').click(function(){
xxxxxx
    $.post('http://www.xxxx.com/index.php',{a:xx,b:xx},function(a){
        xxxxx
    })
xxxxxx
})
xxxxxxxxxxx

Comment dois-je l'écrire en PHP pour l'empêcher ?

按键盘手指磨破皮2579 Il y a quelques jours1689

répondre à tous(3)je répondrai

MrSwan2018-05-23 12:38:25

Comprendre CSRF ?

répondre

phpcn_u221082017-09-01 18:39:28

Les soumissions externes sont normales et l'injection doit être évitée par des procédures.

répondre

Un POST malveillant peut glisser des commandes et augmenter le volume, etc.

— 按键盘手指磨破皮 · 2017-09-01 20:03:07

ringa_lee2017-09-01 15:46:40

D'après ce que vous avez dit, les données soumises par la simulation ajax externe sont inter-domaines.

Vous avez plusieurs façons de gérer cela. Par exemple :

1. Vous pouvez définir des autorisations d'accès. Par exemple, seuls les membres connectés peuvent le voir ou limiter le nom de domaine. Cela rendra l'exploration difficile pour les autres. Mais cet obstacle peut toujours être surmonté.

2. Utilisez la session pour générer un jeton. Vérifiez la session après la soumission. Si elle est légale, déconnectez-vous immédiatement pour vous assurer qu'il y a un nouveau jeton à chaque fois.

3. Analysez les journaux d'accès et restreignez les accès IP suspects au niveau du serveur.

4. Enregistrez la densité de fonctionnement de chaque IP Si elle est plus fréquente, vous pouvez demander des codes de vérification de temps en temps.

...

Il existe de nombreuses méthodes, mais aucune n'est la meilleure. Il est recommandé d'adopter une approche à plusieurs volets. J'espère adopter~

répondre

Ces méthodes ne semblent pas très fiables... Après avoir capturé des paquets avec un logiciel de capture de paquets, ceux-ci peuvent être simulés. Par exemple, les sessions peuvent être capturées en accédant aux fichiers et en les renvoyant. Il existe de nombreuses adresses IP sur Internet, et elles peuvent l'être. utilisé. Je pense que la chose la plus importante à apprendre PHP est d'éviter d'être piraté. Mon site Web est toujours piraté, codé et publié illégalement.

— 按键盘手指磨破皮 · 2017-09-01 16:06:46

Compris, merci pour la réponse

— 按键盘手指磨破皮 · 2017-09-01 16:22:31

Aucune méthode n'est absolue. Il existe trop de méthodes de sécurité. Vous pouvez vous concentrer sur le serveur et adopter une approche à deux volets. Si vous prenez plus de mesures de protection, d'autres ne pourront pas attaquer facilement votre site. vous n'êtes pas un site très populaire, les gens ne peuvent pas rester assis à ne rien faire toute la journée, à faire des recherches et à penser à attaquer votre site tous les jours.

— ringa_lee · 2017-09-01 16:20:36

Annulerrépondre