我有一个简单的表单,并且想要验证发布的值是否来自该表单的目录,而不是来自外部源。表格安全。确保它不是来自外部源
<form action="<?php echo $_SERVER['REQUEST_URI']; ?>" method="POST">
<input type="text" name="post" id="post" />
<input type="submit" name="submit" id="submit" />
</form>
我是否需要在会话中存储某些内容?一个简单的例子会非常有帮助。谢谢。
在创建表格,你可以使用:
<?php
session_start(); // don't forget that you need to call before output (place first, or use ob_start()
$_SESSION['formhash'] = md5(date('Y-m-d H:i:s').'2fiaSFI#T8ahugi83okkj');
?>
<form action="<?php echo $_SERVER['REQUEST_URI']; ?>" method="POST">
<input type="text" name="post" id="post" />
<input type="hidden" name="hash" id="hash" value="<?php echo $_SESSION['formhash']; ?>" />
<input type="submit" name="submit" id="submit" />
</form>
你需要检查时,有人张贴的职位要求有正确的哈希值。你可以使用:
<?php
session_start(); // don't forget that you need to call before output (place first, or use ob_start()
if (isset($_SESSION['formhash']) && isset($_POST['hash']) && $_SESSION['formhash']==$_POST['hash']) {
// treat $_POST
}
?>
嗯,我可以用手工制作的请求发送formhash。忘记它,OP要求的是不可能的。 – tex 2011-05-15 15:51:12
@tex我不确定我明白你的意思。 OP要求提供一份确保没有其他表格被使用的表格。用我的例子,这成为可能。每个客户必须拥有正确的会话cookie和表单。如果您访问外部网站,比如'example.com'而不是'mywebserver.com',则任何到mywebserver.com的POST请求将被第二个代码块中第3行的if子句忽略。如果我错了,请详细解释一下。 – AndersTornkvist 2011-05-15 15:57:09
@tex但你会如何得到散列?这基本上是[CSRF token stuff](http://shiflett.org/articles/cross-site-request-forgeries),其目标是防止*任意* POST请求。如果攻击者有能力去这个表单,抓取这个令牌,然后*提交一个错误的请求,那么就有更大的问题需要担心了。 – sdleihssirhc 2011-05-15 15:57:27
设置窗体上的隐藏字段与每个负载设置一个随机值,多数民众赞成,但如果表单提交,或使用CAPCHA相比。 – 2011-05-15 15:51:34
或用javascript转义隐藏表单,所以一个机器人需要先将其忽略掉 – 2011-05-15 15:55:04