Php 数据来自于精确的形式
我一直在谷歌上搜索,但我仍然没有答案,所以我决定在这里问这个问题: PHP中有没有一种方法可以检查我在某些脚本中接收到的数据是否来自页面上的特定表单?我这样问是因为每个人都可以看到我用于将数据保存到数据库中的脚本的名称,因此如果有人能够找到整个URL,他也能够向脚本发送一些虚假数据,我需要一个条件,即只有当数据来自我页面上的正确表单时,才会触发保存过程 我使用jQuery调用AJAX函数,因此基本上如果我单击按钮“发送”,就会触发$.POST()方法来调用脚本以保存数据 谢谢,Php 数据来自于精确的形式,php,jquery,ajax,forms,Php,Jquery,Ajax,Forms,我一直在谷歌上搜索,但我仍然没有答案,所以我决定在这里问这个问题: PHP中有没有一种方法可以检查我在某些脚本中接收到的数据是否来自页面上的特定表单?我这样问是因为每个人都可以看到我用于将数据保存到数据库中的脚本的名称,因此如果有人能够找到整个URL,他也能够向脚本发送一些虚假数据,我需要一个条件,即只有当数据来自我页面上的正确表单时,才会触发保存过程 我使用jQuery调用AJAX函数,因此基本上如果我单击按钮“发送”,就会触发$.POST()方法来调用脚本以保存数据 谢谢, Tomas这是一
Tomas这是一个有趣的话题,但你忽略了一个要点:垃圾机器人/坏用户也可以通过使用特定的表单页来轰炸你的数据库(!) 因此,问题不在于如何检查请求是否来自该页面,而在于如何检查他是普通用户还是机器人/垃圾邮件发送者/机器人 用验证码,比如
如果我稍微误解了这个问题:如果你想确保请求来自“真实”用户,你必须使用登录系统/用户系统并检查用户id/密码(通过db或会话)每次您想要执行db请求时。您可以通过检查以下内容来验证是否通过AJAX请求页面:
strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest'
你也可以检查一下
但听起来好像你在试图保护一个处理易受攻击数据的页面。这不仅仅需要上述两件事。我建议您通过谷歌搜索“CSRF伪造”来获取更多信息。这些都是您应该关注的内容
见
及 只使用AJAX? 这是我对另一个问题的回答,这个回答涵盖了向ajax请求插入额外数据的不同方法:(仔细看一下 目前,我以这种方式使用代币: 用于提交的表格 这个隐藏的输入可以添加到表单中,这不是必需的,因为您可以使用前面描述的方法。 处理提交的表单数据
if(!isset($_SESSION['FORM_ID'])|$_SESSION['FORM_ID']!=$_POST['formid'])){
//如果要将用户重定向回表单并保留值,则可以使用这些选项:
//$\u会话['RELOAD\u POST']=$\u POST;
//$\u会话['RELOAD\u ID']=uniqid('re');
echo“表单已过期,无法提交值”;
//回声';
退出(1);//恶意用户总是可以使用Firebug或Fiddler修改受信任的表单或请求数据本身。您在这里担心什么?@DCoder如果使用令牌,恶意用户仍然需要从服务器获取安全令牌。如果需要某种登录过程来获取令牌(即使是透明的公共无密码会话登录)然后,你描述的邪恶无法使用Firebug或类似的东西,除非先经过登录过程。当然,操纵发送的请求仍然是可能的。我不是chaptcha的忠实粉丝,因为我认为这对用户来说很烦人。顺便说一句。正如你在我的问题中所看到的,我正在使用POST。无论如何,谢谢你的回答:)谢谢你的回答。我使用了很多正则表达式,我最喜欢的技巧是每次有任何更改时都检查字段中的值。如果它与此字段的preg_匹配,我只会将值返回到字段中,如果有问题,我总是返回原始值,而不带坏字符rs在里面。我认为由于没有办法通过表单发送一些令人讨厌的东西。你觉得怎么样?顺便说一句。我不是一个真正的验证码粉丝,因为我只是觉得这对用户来说很烦人。谢谢你的回答。听起来不错。我试图获取发送请求的页面的名称,但它没有正常工作,所以我放弃了。我会像你说的那样用谷歌搜索“CSRF伪造”,因为你不是第一个推荐我的人。谢谢你。谢谢你的回答。我喜欢你的令牌技术,这可能是我将要使用的:-)
$.ajax({
...
data: /* here */
...
<input type="hidden" name="formid" value="<?php echo generateFormId(); ?>" />
function generateFormId() {
// Insert some random string: base64_encode is not really needed here
$_SESSION['FORM_ID'] = 'FormID'.base64_encode( uniqid() );
// If you want longer random string mixed with some other method just add them:
//$_SESSION['FORM_ID'] = 'FormID'.base64_encode( crypt(uniqid()).uniqid('',true) );
return $_SESSION['FORM_ID'];
}