搜尋
首頁後端開發php教程向高手求教:php post提交问题

php post提交

小虾做了一个程序:通过Ajax 技术调用后台PHP的执行过程 向Mysql写数据库,功能是实现了。
后来发现有用户通过 url直接拼凑参数手工通过网址输入方式调用php的执行过程。 
问题1: 有什么好的办法可以禁止直接手工通过网址向后台提交呢?
我查了一些帮助,大意是提交前:通过时间t向后台提交获得相对应的加密键值k1,
在正式提交时,将t与k1都提交,后台通过t重新加密得出k2,如果k1与k2相同,则执行写入数据库过程。
问题2:这种方式,增加了获取键值k1这个过程,肯定比不获取k1多费时间。 有什么办法规避呢?
问题3:获取加密键值k1这个过程又如何保证不被别人直接手工通过网址向后台调用呢?
恳请高人指点! 
谢谢先!


回复讨论(解决方案)

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了
-------
这个解决方法有点“偏方”的味道。。。,  
真诚感谢回复!

说实话B/S架构很难避免server端接收的数据一定是由你希望的Browser端发送过来的,毕竟server端只是提供一个页面供客户端请求,接收请求后开始运行。就算是用session验证登录也可以被模拟,所以很难做到接收的数据一定是由你返回页面所产生的,至少我没想到有什么办法,呵呵。
建议在表单上添加一些hidden,通过验证hidden的值来判断(类似楼主所提的方法),但这些方法还是可以被模拟的,只能防范技术较低的人。

我不知道有防范这种调用方式的方法. 毕竟接口写出来就是让用的,只要符合规则让它调用就是了,接口内尽量写的安全些..

关于少写?>xuzuning版大讲过,这样才是更规范更合适的写法, PHP会自动把最后一行后边的换行和空格全部删掉.至于是否对楼主的问题有效就不清楚了,.

使用sesseion可以防止恶意注入数据,具体方法: http://www.ibihuo.com/show-60.html

你的后台是不需要登录的么?

to anglegz : 你从高度回复了我的疑惑, 不过我的应用都是B/S的,改成 B/C的目前不可能;
to anyilaoliu : 接口写安全些是一个解决方案, 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台;
to ahui_lcm: 是需要登录的,目前是登录后的用户(不登录是不能提交的),在同一台机器上再开一个相同的浏览器,手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash;
”,如何保证写session的存储过程不被用户单独调用呢?  我的理解写session过程也是 带参数的post提交,这也可以通过手工在地址栏提交, 是不是我理解得不对?
多谢各位, 还有没有其它建议?

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?




在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?





如果手工输入的变量都是符合要求的  应该不会担心吧?



在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?





如果手工输入的变量都是符合要求的  应该不会担心吧?
-----------------------------------
手工输入的变量都是符合要求的,自然没有问题。  问题是用户提交“非法”数据。

各位大拿, 还有没有无漏洞的方案呢?  
目前依据我的判断, 用户已经可以获取到"hidden" 变量值的。

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据  你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据  你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...
--------------------
“非法”结论是通过后来人工分析数据得出的。 
按照你的说法, 就是在现有js 检查判断“提交数据值”基础上, 将相应的核查重新在php上再进行一次。这个方案我觉得可以尝试一下, 前提条件是:我能够依据后台已经有的数据重新推导出前台用于判断的参数变量,而不是将前台参数变量直接提交到数据库中后使用。
此方法值得一试! 这样就不需要在session中记录加密键值什么的了。

必须不能直接进数据库   进数据库之前要检测下是否有可能引起注入攻击的代码  

除非是个人测试站,没有直接入库的.

to anglegz : 你从高度回复了我的疑惑, 不过我的应用都是B/S的,改成 B/C的目前不可能;
to anyilaoliu : 接口写安全些是一个解决方案, 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台;
to ahui_lcm: 是需要登录的,目前是登录后的用户(不登录是不能提交的),在同一台机器上再开一个相同的浏览器,手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash;
”,如何保证写session的存储过程不被用户单独调用呢?  我的理解写session过程也是 带参数的post提交,这也可以通过手工在地址栏提交, 是不是我理解得不对?
多谢各位, 还有没有其它建议? session是后台随机生成的,不会受到用户的干扰,discuz也是用的这种办法,他的很多操作都有formharsh值,就是这个原理

最近我正在写这么一个东西, 目前没有很好的办法,参数都可以模拟,后台你如何限制呢,参数又都是合法的

这样的一般  csrf

地址栏上的参数,能用$_POST取的到?你在程序里用$_POST接收表单传过来的数据。如果他用地址栏直接输入参数,难道$_POST会接收到?

模拟是另一种需求,绝对防止是不可能的。

增加难度是可以的。与需求

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了
没看懂

to y244360439: session是后台随机生成的,不会受到用户的干扰,discuz也是用的这种办法,他的很多操作都有formharsh值,就是这个原理 
---------------------------
我想找个类似的参考一下, 
只找到了 SWFUpload 的源码,它的处理为:
1)前台调用页面的JS 中对URL参数赋值:"PHPSESSID" : ""
2)在后台执行脚本中对sessionid检查并赋值:
// Code for Session Cookie workaround
if (isset($_POST["PHPSESSID"])) {
session_id($_POST["PHPSESSID"]);
} else if (isset($_GET["PHPSESSID"])) {
session_id($_GET["PHPSESSID"]);
}
真心没有找到在JS中如何实现"sesseion存储起来,$_SESSEION['hash'] = $hash”?  可否指导一下具体如何操作? 不行下载discuz源码在琢磨一下。
to ahui_lcm: 看了提交代码,获取变量都是通过 $_REQUEST[‘xxx']方式的,后面改$_POST,应该是代码一大改进。我这个现学现卖的半吊子 漏马甲了 :)

做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html

你可以自己?一?加密解密函?,例如:
ajax提交到??的一?url  http://localhost/a.php?key=REWTR54365EY&val=??

其中key的值是使用php的加密函?加密之後的?容(例如:自定?加密函?("要提交的?果")),提交到a.php之後用解密函?得到key的值(然後和要提交的?果作比?),看看是否符合本次提交的需求

其实可以用加密键,同样post到接受页面,在接受页面解密和验证key,

使用$_SERVER["HTTP_REFERER"]判断是不是来自你的页面。伪造$_SERVER["HTTP_REFERER"]是违法的。技术上没有破解不了的东西。

做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法, 提交加密通过Ajax的变量 data: "hash="+hash 来实现, 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法(我的前台与被调用的后台是分在不同的2个文件中的)。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用, 个人觉得这种获取过程降低了提交效率,同时也可能会泄密。 
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢? 不胜感激!

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预
---------------------------------------
1、只用 $_POST 接受提交,可使url参数无效
----> 前面ahui_lcm 提到过, 已经修改了,对于对付手工地址非法输入确实有效。
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
----> 后面可以加进去,虽然不确保安全, 也算是增加被攻破的难度。
3、利用js提交(包括动态加入识别字)。
----> 增加识别字, 考虑过增加验证码的识别方法,后来觉得用户操作会变得多一步,影响用户使用感受, 目前暂不考虑此方法了。
集思广益, 多谢各位回复 !

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预

我是php新手,版主能否详细说一下2,3条是什么意思?


做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法, 提交加密通过Ajax的变量 data: "hash="+hash 来实现, 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法(我的前台与被调用的后台是分在不同的2个文件中的)。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用, 个人觉得这种获取过程降低了提交效率,同时也可能会泄密。 
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢? 不胜感激!

通过模板引擎把hash值付给前台模板

陳述
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
簡單地說明PHP會話的概念。簡單地說明PHP會話的概念。Apr 26, 2025 am 12:09 AM

phpsessionstrackuserdataacrossmultiplepagerequestsusingauniqueIdStoredInAcookie.here'showtomanageThemeffectionaly:1)startAsessionWithSessionWwithSession_start()和stordoredAtain $ _session.2)

您如何循環中存儲在PHP會話中的所有值?您如何循環中存儲在PHP會話中的所有值?Apr 26, 2025 am 12:06 AM

在PHP中,遍歷會話數據可以通過以下步驟實現:1.使用session_start()啟動會話。 2.通過foreach循環遍歷$_SESSION數組中的所有鍵值對。 3.處理複雜數據結構時,使用is_array()或is_object()函數,並用print_r()輸出詳細信息。 4.優化遍歷時,可採用分頁處理,避免一次性處理大量數據。這將幫助你在實際項目中更有效地管理和使用PHP會話數據。

說明如何使用會話進行用戶身份驗證。說明如何使用會話進行用戶身份驗證。Apr 26, 2025 am 12:04 AM

會話通過服務器端的狀態管理機制實現用戶認證。 1)會話創建並生成唯一ID,2)ID通過cookies傳遞,3)服務器存儲並通過ID訪問會話數據,4)實現用戶認證和狀態管理,提升應用安全性和用戶體驗。

舉一個如何在PHP會話中存儲用戶名的示例。舉一個如何在PHP會話中存儲用戶名的示例。Apr 26, 2025 am 12:03 AM

Tostoreauser'snameinaPHPsession,startthesessionwithsession_start(),thenassignthenameto$_SESSION['username'].1)Usesession_start()toinitializethesession.2)Assigntheuser'snameto$_SESSION['username'].Thisallowsyoutoaccessthenameacrossmultiplepages,enhanc

哪些常見問題會導致PHP會話失敗?哪些常見問題會導致PHP會話失敗?Apr 25, 2025 am 12:16 AM

PHPSession失效的原因包括配置錯誤、Cookie問題和Session過期。 1.配置錯誤:檢查並設置正確的session.save_path。 2.Cookie問題:確保Cookie設置正確。 3.Session過期:調整session.gc_maxlifetime值以延長會話時間。

您如何在PHP中調試與會話相關的問題?您如何在PHP中調試與會話相關的問題?Apr 25, 2025 am 12:12 AM

在PHP中調試會話問題的方法包括:1.檢查會話是否正確啟動;2.驗證會話ID的傳遞;3.檢查會話數據的存儲和讀取;4.查看服務器配置。通過輸出會話ID和數據、查看會話文件內容等方法,可以有效診斷和解決會話相關的問題。

如果session_start()被多次調用會發生什麼?如果session_start()被多次調用會發生什麼?Apr 25, 2025 am 12:06 AM

多次調用session_start()會導致警告信息和可能的數據覆蓋。 1)PHP會發出警告,提示session已啟動。 2)可能導致session數據意外覆蓋。 3)使用session_status()檢查session狀態,避免重複調用。

您如何在PHP中配置會話壽命?您如何在PHP中配置會話壽命?Apr 25, 2025 am 12:05 AM

在PHP中配置會話生命週期可以通過設置session.gc_maxlifetime和session.cookie_lifetime來實現。 1)session.gc_maxlifetime控制服務器端會話數據的存活時間,2)session.cookie_lifetime控制客戶端cookie的生命週期,設置為0時cookie在瀏覽器關閉時過期。

See all articles

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

VSCode Windows 64位元 下載

VSCode Windows 64位元 下載

微軟推出的免費、功能強大的一款IDE編輯器

Atom編輯器mac版下載

Atom編輯器mac版下載

最受歡迎的的開源編輯器

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強大的PHP整合開發環境

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。

DVWA

DVWA

Damn Vulnerable Web App (DVWA) 是一個PHP/MySQL的Web應用程序,非常容易受到攻擊。它的主要目標是成為安全專業人員在合法環境中測試自己的技能和工具的輔助工具,幫助Web開發人員更好地理解保護網路應用程式的過程,並幫助教師/學生在課堂環境中教授/學習Web應用程式安全性。 DVWA的目標是透過簡單直接的介面練習一些最常見的Web漏洞,難度各不相同。請注意,該軟體中