PHP セッションの URL 攻撃対策方法_PHP チュートリアル

WBOY
リリース: 2016-07-13 17:09:56
オリジナル
1219 人が閲覧しました

セッション追跡により、上記の状況を簡単に回避できます:

セッション開始(); $clean = 配列(); $email_pattern = '/^[^@s<>]+@([-a-z0-9]+.)+[a-z]{2,}$/i'; if (preg_match($email_pattern, $_POST['email']))
{
$clean['電子メール'] = $_POST['電子メール']; $user = $_SESSION['ユーザー']
$new_password = md5(uniqid(rand(), TRUE)); if ($_SESSION['検証済み'])
{
/* パスワードを更新 */
mail($clean['email'], '新しいパスワード', $new_password); }
}
?>


http://example.org/reset.php?user=php&email=chris%40example.org

reset.php がユーザーによって提供された情報を信頼する場合、これはセマンティック URL 攻撃の脆弱性です。この場合、システムは php アカウントの新しいパスワードを生成して chris@example.org に送信するため、chris は php アカウントを盗むことに成功します。

http://www.bkjia.com/PHPjc/629703.html

www.bkjia.com

tru​​e

技術記事セッション追跡では、上記の状況を簡単に回避できます。 ?php チュートリアル session_start(); $clean = array(); $email_pattern = '/^[^@s]+@([-a-z0-9]+ .)+[ a-z]{2,}$/i' if (preg_mat...;
ソース:php.cn
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
最新の問題
人気のチュートリアル
詳細>
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート