$_POST安全，如何处理跨域提交 -php教程-PHP中文网

首页

后端开发

php教程

$_POST安全，如何处理跨域提交

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 13, 2016 pm 12:55 PM

ajaxfsockopennbsppostsession

$_POST安全，如何避免跨域提交？
我有一些AJAX页面，提交并链接数据库，最近怀疑有人用fsockopen或者curl模拟POST表单，偷取我的数据库资料。

如何避免$_POST跨域提交？

可否在apache里设置？或者用$_SERVER之类的进行判别？

------解决方案--------------------
1.如果能设定数据的访问权限，比如说只有登录会员才可查看，这样会给别人的抓取造成一定难度。但这个障碍总能被解决的。
2.分析访问日志，从服务器级别限制可疑IP访问。
3.记录每个IP的操作密度，较频繁的可不定时要求输验证码
------解决方案--------------------
一个token 或者一个验证码就解决了...
或者上面说的产生一个全局变量验证一下
------解决方案--------------------
如版主所说，生成令牌验证再对频繁提交的IP设置验证码即可。
------解决方案--------------------
用session生成令牌,提交之后验证session,合法则马上注销这个session,确保每次都有一个新的令牌.
------解决方案--------------------
除了不友好的验证码之外，没有别的方法
不过简单些的验证码也是可以机器识别的

你是些AJAX页面，所以验证码也是不能用的
可以考虑请求数据部分的 js 代码也是动态产生的
这样窃取者如不能动态解析 js 就无法获取数据了
------解决方案--------------------

引用:

我有一些AJAX页面，提交并链接数据库，最近怀疑有人用fsockopen或者curl模拟POST表单，偷取我的数据库资料。

如何避免$_POST跨域提交？

可否在apache里设置？或者用$_SERVER之类的进行判别？

使用验证，加hash。这些hash值绑定时间，
（1）设定时间内失效
（2）加密方式根据时间日期变化

------解决方案--------------------
作为一个长期数据搜集者，很遗憾地告诉你，上面说的方法都能应付

但作为php学得比你早，还知道点市场运作知识的人，我给你的建议有下面这些（基于开放数据内容）：
1.最重要的一点：你要搞清防范的对象，像我这样的人（看最后），你防也没用，也没必要，关键是防你公司的竞争对手
2.基于第1点，也没必要做全数据库防范，那是防黑客层面的工作，只需要在关键数据上面做手脚就行了
什么是关键数据？对商城来说，价格就是关键数据，淘宝为何不防范？因为不是淘宝自己在卖东西……完毕
3.任何的防范工作必然会导致用户体验降低，流失客户的损失和防范少数小偷的得益之间的比较，需要衡量
4.真的要防范的话――
1) 防机器不防人，区别是什么？前者读代码，后者读文字（肉眼），所以从这点出发最重要
2) 基于上面第2点，最好和市场部协同，找对重要数据
3) 抓数据有三个步骤：开发爬虫、抓取过程、重组数据，针对增加开发难度，没必要，也没办法；针对抓取增加难度，这个上述第3点说了，慎重对待，最好针对“时间”做文章；最好把着眼点放在重组数据的难度，就是说抓到了也很难用程序重组，这个就要看你的能力了
4) 大公司应该从公司层面做对付小偷的工作，例如诉讼，这样更显得公司的大气形象；小公司一般服务对象比较固定，采用“信任”机制会更好，例如一些数据只对特定人员开放
……
总的来说应该结合商业模型，不要技术部全扛下来

补充3)所说的举例方案：
A: 如唠叨所说，某些东西用js“拼”出来，直接写出来不行，那还是完整结果；这是因为现在懂调用js引擎运算结果的人还很少
B: 以前帮别人做过这样的事――四位数，用N(某数量4，随机)张图片显示，从代码看这N张图片代码完全一致，取回的字节数也接近，但目视只有4张显示出所需要的数字（结合网页底色），当时这个方法使用相当一段时间都有效，但随着OCR的程序越来越简单，这个方法也失效了，但原理还是有用的

我抓数据漫无目的(指target)，只抓自己有用和喜欢的东西，例如中日韩的邮政编码

、喜欢的图片……，不卖钱不外传也从不帮别人抓，商业数据一点兴趣（用处）也没有，可能去抓还惹来一身骚，后果严重，俺要为人生倒数的几年着想啊

最后告诉你，我现在还没法对付的就是――图片瀑布墙

------解决方案--------------------
补充一下
无论你是用 cookie、session还是token都不能达到防范的作用
因为检查的是客户端回传的数据与服务端预设的是否一致

那么好了，我只要将采集的动作分为两步：
1、进入你的ajax页面，你的网站就会把验证的相关数据发给我。因为你的ajax提交也是要验证的
2、向目标页发送请求，此时与你的ajax请求是一样携带验证数据的

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

哪些常见问题会导致PHP会话失败？Apr 25, 2025 am 12:16 AM

PHPSession失效的原因包括配置错误、Cookie问题和Session过期。1.配置错误：检查并设置正确的session.save_path。2.Cookie问题：确保Cookie设置正确。3.Session过期：调整session.gc_maxlifetime值以延长会话时间。

您如何在PHP中调试与会话相关的问题？Apr 25, 2025 am 12:12 AM

在PHP中调试会话问题的方法包括：1.检查会话是否正确启动；2.验证会话ID的传递；3.检查会话数据的存储和读取；4.查看服务器配置。通过输出会话ID和数据、查看会话文件内容等方法，可以有效诊断和解决会话相关的问题。

如果session_start（）被多次调用会发生什么？Apr 25, 2025 am 12:06 AM

多次调用session_start()会导致警告信息和可能的数据覆盖。1)PHP会发出警告，提示session已启动。2)可能导致session数据意外覆盖。3)使用session_status()检查session状态，避免重复调用。

您如何在PHP中配置会话寿命？Apr 25, 2025 am 12:05 AM

在PHP中配置会话生命周期可以通过设置session.gc_maxlifetime和session.cookie_lifetime来实现。1)session.gc_maxlifetime控制服务器端会话数据的存活时间，2)session.cookie_lifetime控制客户端cookie的生命周期，设置为0时cookie在浏览器关闭时过期。

使用数据库存储会话的优点是什么？Apr 24, 2025 am 12:16 AM

使用数据库存储会话的主要优势包括持久性、可扩展性和安全性。1.持久性：即使服务器重启，会话数据也能保持不变。2.可扩展性：适用于分布式系统，确保会话数据在多服务器间同步。3.安全性：数据库提供加密存储，保护敏感信息。

您如何在PHP中实现自定义会话处理？Apr 24, 2025 am 12:16 AM

在PHP中实现自定义会话处理可以通过实现SessionHandlerInterface接口来完成。具体步骤包括：1)创建实现SessionHandlerInterface的类，如CustomSessionHandler；2)重写接口中的方法（如open,close,read,write,destroy,gc）来定义会话数据的生命周期和存储方式；3)在PHP脚本中注册自定义会话处理器并启动会话。这样可以将数据存储在MySQL、Redis等介质中，提升性能、安全性和可扩展性。

什么是会话ID？Apr 24, 2025 am 12:13 AM

SessionID是网络应用程序中用来跟踪用户会话状态的机制。1.它是一个随机生成的字符串，用于在用户与服务器之间的多次交互中保持用户的身份信息。2.服务器生成并通过cookie或URL参数发送给客户端，帮助在用户的多次请求中识别和关联这些请求。3.生成通常使用随机算法保证唯一性和不可预测性。4.在实际开发中，可以使用内存数据库如Redis来存储session数据，提升性能和安全性。