简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP はリモートフォーム送信を阻止します

巴扎黑
リリース: 2016-11-23 13:27:59
オリジナル
1096 人が閲覧しました

ウェブの利点は、情報やサービスを共有できることです。欠点は、情報やサービスの共有です。何の躊躇もなく物事を行う人もいます。
フォームを例に挙げてみましょう。誰でも Web サイトにアクセスし、ブラウザ上で [ファイル] > [名前を付けて保存] を使用してフォームのローカル コピーを作成できます。次に、完全修飾 URL (formHandler.php ではなく、フォームはこのサイトにあるため http://www.yoursite.com/formHandler.php) を指すようにアクション パラメーターを変更し、必要な操作を行うことができます。変更を加えて [送信] をクリックすると、サーバーはこのフォーム データを法的な通信フローとして受信します。
まず、$_SERVER['HTTP_REFERER'] をチェックして、リクエストが自分のサーバーからのものであるかどうかを判断することを検討してください。この方法では、ほとんどの悪意のあるユーザーをブロックできますが、最も高度なハッカーをブロックすることはできません。これらの人々は、ヘッダー内の参照元情報を改ざんして、フォームのリモート コピーをサーバーから送信されたように見せかけるほど賢いのです。
リモート フォームの送信を処理するより良い方法は、一意の文字列またはタイムスタンプに基づいてトークンを生成し、このトークンをセッション変数とフォームに入れることです。フォームを送信した後、2 つのトークンが一致するかどうかを確認します。一致しない場合は、誰かがフォームのリモート コピーからデータを送信しようとしていることがわかります。
ランダム トークンを作成するには、以下に示すように、PHP の組み込み md5()、uniqid()、および rand() 関数を使用できます: 

<span style="font-size: small;"><?php  
session_start();  
  
if ($_POST[&#39;submit&#39;] == "go"){  
    //check token  
    if ($_POST[&#39;token&#39;] == $_SESSION[&#39;token&#39;]){  
        //strip_tags  
        $name = strip_tags($_POST[&#39;name&#39;]);  
        $name = substr($name,0,40);  
        //clean out any potential hexadecimal characters  
        $name = cleanHex($name);  
        //continue processing....  
    }else{  
        //stop all processing! remote form posting attempt!  
    }  
}  
  
$token = md5(uniqid(rand(), true));  
$_SESSION[&#39;token&#39;]= $token;  
  
  
function cleanHex($input){  
    $clean = preg_replace("![\][xX]([A-Fa-f0-9]{1,3})!", "",$input);  
    return $clean;  
}  
?>  
  
  
<form action="<?php echo $_SERVER[&#39;PHP_SELF&#39;];?>" method="post">  
<p><label for="name">Name</label>  
<input type="text" name="name" id="name" size="20" maxlength="40"/></p>  
<input type="hidden" name="token" value="<?php echo $token;?>"/>  
<p><input type="submit" name="submit" value="go"/></p>  
</form>   </span>
ログイン後にコピー

この手法は、PHP セッションではサーバー間でデータを移行できないため機能します。誰かがあなたの PHP ソース コードを取得し、それを自分のサーバーに移動し、あなたのサーバーに情報を送信したとしても、あなたのサーバーが受け取るのは、空の、または不正な形式のセッション トークンと、最初に提供されたフォーム トークンだけです。これらは一致しないため、リモート フォームの送信は失敗します。

関連ラベル:
php PHP 防止远程表单提交
ソース:php.cn
前の記事:PHP 5.4 正式版の重要な新機能 次の記事:PHP 言語の構造と関数の違い
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
PHP の SQL 値を介して、大規模な HTML フォームを動的に設定する この質問は、コードの書き方よりも、「スケール」の観点から実装したいプロセス/ロジックに関係しています。 WordPress には、HTML として読み込まれるフォームがいくつかあり...
から 2023-09-10 17:28:20
0
1
266
問題はどこだ?この単純な html/PHP フォームはローカルでテストすると正常に動作しますが、ライブ サーバーでは失敗します。 既存のWebサイトに「メッセージ送信」フォームを追加したい。このチュートリアルを見つけました: PHP Contact Form チュートリアルのコードを確認し、それがどのように機...
から 2023-09-05 17:03:39
0
1
202
書き直されたタイトルは次のとおりです: PHP ボタンを jQuery および POST メソッドと組み合わせて戻り値を取得する ユーザー名を取得する単純なフォームがあり、次のことを実現したいと考えています。ユーザーがボタンをクリックすると、複数のクリックを防ぐためにボタンが無効になります(実際の場合、すべて...
から 2023-09-05 08:42:27
0
2
234
サーバーに保存された PDF ファイルを Curl PHP フォーム データ経由で別のサーバーに送信する CurlPHPFormData メソッドを使用して、サーバーに保存されている PHP ファイルを別のサーバーに送信しようとしています。通常、これはフォームを送信してファイルをアップ...
から 2023-08-31 12:44:11
0
1
262
PHP はプログラムを実行した後、フォーム送信アクションを実行しようとします。 SQL挿入プログラムが正常に挿入された後に、フォームのSUBMITアクションを実行したいと考えています。専門家の皆さん、どのように書けばよいでしょうか。ありがとう! {コード......
から 2017-05-16 13:14:38
0
2
241
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!