我目前正在编写一个使用表单和PHP $ _POST数据的Web应用程序(迄今为止这么标准!:))。然而,(这可能是一个noob查询)我刚刚意识到,理论上,如果有人用假表单将HTML文件放在他们的计算机上,请将该操作作为我网站上使用的脚本之一并用他们自己的随机数据填充这个表单,他们不能将这些数据提交到表单中并导致问题吗?
我清理数据等,所以我不(太)担心XSS或注入式攻击,我只是不希望有人能够,例如,胡说八道的东西添加到购物车等等等等
现在,我意识到对于一些可以写入保护的脚本,例如只允许将东西放入可在数据库中找到的购物车中,但可能会出现某些情况,无法预测所有情况。
所以,我的问题是 - 是否有一个可靠的方法来确保我的PHP脚本只能通过托管在我的网站上的窗体调用?也许有些Http Referrer会检查脚本本身,但我听说这可能不可靠,或者可能是一些htaccess voodoo?这看起来像一个太大的安全漏洞(特别是像客户评论或任何客户输入的东西)只是开放。任何想法将非常感激。 :) 再次感谢!
你必须添加某种独特的令牌到你的表单。 – kapa 2011-03-24 08:24:40