詳解php curl帶有csrf-token驗證模擬提交方法php實例-php教程-PHP中文網

首頁

後端開發

php教程

詳解php curl帶有csrf-token驗證模擬提交方法php實例

jacklove

Jun 27, 2018 pm 05:39 PM

csrfcurlphptoken

這篇文章主要介紹了詳解php curl帶有csrf-token驗證模擬提交方法，小編覺得挺不錯的，現在分享給大家，也給大家做個參考。一起跟著小編過來看看吧

通常為了安全會在表單裡加入一個隨機的token值來防止csrf攻擊。

要想模擬提交有token驗證的網站其實也不難。

1.透過正規取得token
2.帶上取得到的token模擬提交

下面是一個成功的範例

目錄結構

│ form.php –需要模拟的表单 
│ getForm.php – 模拟提交程序 
│ post.php –表单验证程序 
│ 
└─cookie – cookie存放目录

getForm.php

<?php
$cookie_file = &#39;./cookie/&#39;.time().&#39;.cookie&#39;;
$str = getResponse(&#39;http://a.curl.com:81/form.php&#39;,[],$cookie_file);
setcookie("PHPSESSID", "vc0heoa6lfsi3gger54pkns152");
preg_match(&#39;/<input name="token" type="hidden" value="(.*)"/U&#39;, $str, $match);

$post[&#39;token&#39;] = $match[1];
$post[&#39;name&#39;] = &#39;3333333&#39;;
$post[&#39;password&#39;] = &#39;12121213&#39;;
print_r(getResponse(&#39;http://a.curl.com:81/post.php&#39;, $post, $cookie_file));

function getResponse($url, $data=[], $cookie_file=&#39;&#39;, $timeout = 3)
  {
    if(empty($cookie_file))
    {
      $cookie_file = &#39;.cookie&#39;;
    }

    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_REFERER, "https://www.baidu.com");  //构造来路
    curl_setopt($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36");

    if(!empty($data))
    {
      curl_setopt($ch, CURLOPT_POST, true);
      curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
    }
    curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file);// 取cookie的参数是
    curl_setopt ($ch, CURLOPT_COOKIEFILE, $cookie_file); //发送cookie
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
    curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
    try
    {
       $handles = curl_exec($ch);
       curl_close($ch);
       return $handles;
    }
    catch (Exception $e)
    {
      echo &#39;Caught exception: &#39;, $e->getMessage(), "\n";
    }
    unlink($cookie_file);
  }

form.php

<?php
session_start();
$_SESSION[&#39;token&#39;] = md5($_SERVER[&#39;REQUEST_TIME&#39;]);
$_SESSION[&#39;time&#39;] = date("Y-m-d H:i:s");
session_write_close();
//echo $_SESSION[&#39;auth&#39;];
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
 <head>
 <title> new document </title>
 <meta name="generator" content="editplus" />
 <meta name="author" content="" />
 <meta name="keywords" content="" />
 <meta name="description" content="" />
 </head>
 <body>
<form action="post.php" method="post">
  <p><input name="name" type="text"></p>
  <p><input name="password" type="password"></p>
  <p><input name="token" type="hidden" value="<?php echo $_SESSION[&#39;token&#39;]?>"></p>
  <p><input type="submit"></p>
</form>
 </body>
</html>

post.php

<?php
session_start();
if(empty($_POST[&#39;token&#39;]))
{
  exit ("token is empty!");
}

if(empty($_SESSION[&#39;token&#39;]))
{
 exit ("session is empty");
}

if($_POST[&#39;token&#39;] != $_SESSION[&#39;token&#39;])
{
  exit ("token ");
} else
{
  unset($_SESSION[&#39;token&#39;]);
}

echo PHP_EOL;
echo "pass";
print_r($_REQUEST);

echo PHP_EOL;
print_r($_SERVER);

以上就是本文的全部內容，希望對大家的學習有所幫助，也希望大家多多支持php中文網。

您可能感興趣的文章:

PHP迭代器和迭代的實作與使用方法分析php技巧

#PHP作業MongoDB實作增刪改查功能php技巧

#PHP作業Redis常用技巧總結php技巧

以上是詳解php curl帶有csrf-token驗證模擬提交方法php實例的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

如何檢查PHP會話是否已經開始？Apr 30, 2025 am 12:20 AM

在PHP中，可以使用session_status()或session_id()來檢查會話是否已啟動。 1)使用session_status()函數，如果返回PHP_SESSION_ACTIVE，則會話已啟動。 2)使用session_id()函數，如果返回非空字符串，則會話已啟動。這兩種方法都能有效地檢查會話狀態，選擇使用哪種方法取決於PHP版本和個人偏好。

描述一個場景，其中使用會話在Web應用程序中至關重要。Apr 30, 2025 am 12:16 AM

sessionsarevitalinwebapplications，尤其是在commercePlatform之前。

如何管理PHP中的並發會話訪問？Apr 30, 2025 am 12:11 AM

在PHP中管理並發會話訪問可以通過以下方法：1.使用數據庫存儲會話數據，2.採用Redis或Memcached，3.實施會話鎖定策略。這些方法有助於確保數據一致性和提高並發性能。

使用PHP會話的局限性是什麼？Apr 30, 2025 am 12:04 AM

PHPsessionshaveseverallimitations:1)Storageconstraintscanleadtoperformanceissues;2)Securityvulnerabilitieslikesessionfixationattacksexist;3)Scalabilityischallengingduetoserver-specificstorage;4)Sessionexpirationmanagementcanbeproblematic;5)Datapersis

解釋負載平衡如何影響會話管理以及如何解決。Apr 29, 2025 am 12:42 AM

負載均衡會影響會話管理，但可以通過會話複製、會話粘性和集中式會話存儲解決。 1.會話複製在服務器間複製會話數據。 2.會話粘性將用戶請求定向到同一服務器。 3.集中式會話存儲使用獨立服務器如Redis存儲會話數據，確保數據共享。

說明會話鎖定的概念。Apr 29, 2025 am 12:39 AM

Sessionlockingisatechniqueusedtoensureauser'ssessionremainsexclusivetooneuseratatime.Itiscrucialforpreventingdatacorruptionandsecuritybreachesinmulti-userapplications.Sessionlockingisimplementedusingserver-sidelockingmechanisms,suchasReentrantLockinJ

有其他PHP會議的選擇嗎？Apr 29, 2025 am 12:36 AM

PHP會話的替代方案包括Cookies、Token-basedAuthentication、Database-basedSessions和Redis/Memcached。 1.Cookies通過在客戶端存儲數據來管理會話，簡單但安全性低。 2.Token-basedAuthentication使用令牌驗證用戶，安全性高但需額外邏輯。 3.Database-basedSessions將數據存儲在數據庫中，擴展性好但可能影響性能。 4.Redis/Memcached使用分佈式緩存提高性能和擴展性，但需額外配