[转载]防御远程表单提交 - snowberry - ITeye博客

`

chengxianju

浏览: 248630 次
性别:
来自: 合肥

最近访客更多访客>>

devcang

wltjack

greatjone

shizhe0612

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

玲cc：语言这东西不用就容易忘。。以前学了现在又差不多忘光了。。
python满足你需要的50个模块
huazhiyu1981：了解python库函数必须要有的资料！
python满足你需要的50个模块
faroasis： toLocale之类的方法在ie下取决于本地设置，不建议用来做 ...
js时间戳转为日期格式
hyl1234： pydev不错，不过还没入门。谢lz
python满足你需要的50个模块
mirguest：因此，我就写了下面这个代码： #!/usr/bin/env ...
python类学习

[转载]防御远程表单提交

博客分类：

php

阅读更多

防御远程表单提交

<?php
session_start();

if ($_POST['submit'] == "go"){
//check token
if ($_POST['token'] == $_SESSION['token']){
//strip_tags
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing....
}else{
//stop all processing! remote form posting attempt!
}
}

$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;

function cleanHex($input){
$clean = preg_replace("![/][xX]([A-Fa-f0-9]{1,3})!", "",$input);
return $clean;
}
?>

<form action="<?php echo $_SERVER['PHP_SELF'];?>" method="post">
<p><label for="name">Name</label>
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>
<input type="hidden" name="token" value="<?php echo $token;?>"/>
<p><input type="submit" name="submit" value="go"/></p>
</form>

这种技术是有效的，这是因为在 PHP 中会话数据无法在服务器之间迁移。即使有人获得了您的 PHP 源代码，将它转移到自己的服务器上，并向您的服务器提交信息，您的服务器接收的也只是空的或畸形的会话令牌和原来提供的表单令牌。它们不匹配，远程表单提交就失败了。

分享到：

解决NGINX PHP "No input file specified" | javascript调式对象（打印对象）

2011-12-14 15:17
浏览 934
评论(0)
分类:编程语言
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

表单提交验证类表单提交验证类: 表单提交验证类表单提交验证类表单提交验证类表单提交验证类

常用的表单提交判断函数常用的表单提交判断函数: 常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数常用的表单提交判断函数

js验证表单大全,用JS控制表单提交 ,javascript提交表单: js验证表单大全,用JS控制表单提交 ,javascript提交表单

弹出层表单提交数据完美解决: 弹出层表单提交数据完美解决弹出层表单提交数据完美解决弹出层表单提交数据完美解决弹出层表单提交数据完美解决

php curl模仿form表单提交图片或文件: php curl模仿form表单提交图片或文件用的tp5做的例子

ajax 无刷新实现表单提交: 简单的ajaxt无刷新实现表单提交的实例（myeclipse 直接导入运行）学习点： 1；ajax无刷新表单提交 2；ajax的运行历程最简单明了的实例，清晰的帮你弄清上述概念，运行简单，只需解压该包，然后Myeclipse中file - ...

表单提交数据库的程序: 表单提交数据库的程序表单提交数据库的程序表单提交数据库的程序表单提交数据库的程序表单提交数据库的程序

简单的ASP表单提交到后台的源码: 这是一个简单的带后台的表单提交asp源码

C# post方式提交Form表单: C# post方式提交Form表单。 C# post方式提交Form表单，可以支持带参数传入，供大家学习参考。 C# post提交表单。

JQuery表单提交和后台交互源码20130509: JQuery表单提交和后台交互源码源码描述： jQuery表单提交和后台交互，非常简单。也许你习惯了使用基于jQuery的表单插件，裸写也不错仅使用jQuery提交表单和后台交互，不使用基于jQuery的表单插件方式1、取到...

asp.net mvc3 表单提交和异步提交: asp.net mvc3 表单提交和异步提交；asp.net mvc3 表单提交和异步提交

JS提交form表单实例分析: 本文实例讲述了JS提交form表单。分享给大家供大家参考，具体如下：一、javascript 页面加裁时自动提交表单： Form表单： <form method="post" id="myform" action="a.php"> <input type="submit" value=...

asp表单提交源码: asp表单提交源码

转义表单提交字符处理函数: 转义表单提交字符处理函数，可用于php或javascript的字符处理函数列表

js 提交form表单和设置form表单请求路径的实现方法: 如下所示： form表单ID：postform 设置表单请求url document.postform.action = SaveReturnInfo...以上就是小编为大家带来的js 提交form表单和设置form表单请求路径的实现方法全部内容了，希望大家多多支持软件开发网~

分类留言系统（表单提交）源代码: 分类留言系统（表单提交）源代码

jQuery完整注册表单提交验证: jQuery表单提交验证verify一套完整的用户注册前端校验，包含用户名，密码强度，显示隐藏密码，手机号输入控制手机验证码，真实姓名，身份证号等验证。

js提交表单及js表单验证: js提交表单及js表单验证 js提交表单及js表单验证 js提交表单及js表单验证

用iframe提交表单，主要是将表单提交到iframe中，可实现无刷新提交。: 用iframe提交表单，主要是将表单提交到iframe中，可实现无刷新提交。 html页面： <iframe name="FORMSUBMIT" width="1" height="1" ></iframe> ...

Global site tag (gtag.js) - Google Analytics