目錄
回复讨论(解决方案)
首頁 後端開發 php教程 向高手求教:php post提交问题

向高手求教:php post提交问题

Jun 23, 2016 pm 02:20 PM

php post提交

小虾做了一个程序:通过Ajax 技术调用后台PHP的执行过程 向Mysql写数据库,功能是实现了。
后来发现有用户通过 url直接拼凑参数手工通过网址输入方式调用php的执行过程。 
问题1: 有什么好的办法可以禁止直接手工通过网址向后台提交呢?
我查了一些帮助,大意是提交前:通过时间t向后台提交获得相对应的加密键值k1,
在正式提交时,将t与k1都提交,后台通过t重新加密得出k2,如果k1与k2相同,则执行写入数据库过程。
问题2:这种方式,增加了获取键值k1这个过程,肯定比不获取k1多费时间。 有什么办法规避呢?
问题3:获取加密键值k1这个过程又如何保证不被别人直接手工通过网址向后台调用呢?
恳请高人指点! 
谢谢先!


回复讨论(解决方案)

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了
-------
这个解决方法有点“偏方”的味道。。。,  
真诚感谢回复!

说实话B/S架构很难避免server端接收的数据一定是由你希望的Browser端发送过来的,毕竟server端只是提供一个页面供客户端请求,接收请求后开始运行。就算是用session验证登录也可以被模拟,所以很难做到接收的数据一定是由你返回页面所产生的,至少我没想到有什么办法,呵呵。
建议在表单上添加一些hidden,通过验证hidden的值来判断(类似楼主所提的方法),但这些方法还是可以被模拟的,只能防范技术较低的人。

我不知道有防范这种调用方式的方法. 毕竟接口写出来就是让用的,只要符合规则让它调用就是了,接口内尽量写的安全些..

关于少写?>xuzuning版大讲过,这样才是更规范更合适的写法, PHP会自动把最后一行后边的换行和空格全部删掉.至于是否对楼主的问题有效就不清楚了,.

使用sesseion可以防止恶意注入数据,具体方法: http://www.ibihuo.com/show-60.html

你的后台是不需要登录的么?

to anglegz : 你从高度回复了我的疑惑, 不过我的应用都是B/S的,改成 B/C的目前不可能;
to anyilaoliu : 接口写安全些是一个解决方案, 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台;
to ahui_lcm: 是需要登录的,目前是登录后的用户(不登录是不能提交的),在同一台机器上再开一个相同的浏览器,手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash;
”,如何保证写session的存储过程不被用户单独调用呢?  我的理解写session过程也是 带参数的post提交,这也可以通过手工在地址栏提交, 是不是我理解得不对?
多谢各位, 还有没有其它建议?

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了

在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?




在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?





如果手工输入的变量都是符合要求的  应该不会担心吧?



在前台用js做的限制和判断 要在PHP中再判断一次 否则遇到你说这种绕开js验证的时候就悲剧了
------------------------------------
如果在后台再判断一次, 这时候就需要post更多的参数用来作为判断与限制的变量。 在这个post的过程中,就又会有手工网址方式输入的方式对输入变量作假了。 哎, 不还是有漏洞么!?





如果手工输入的变量都是符合要求的  应该不会担心吧?
-----------------------------------
手工输入的变量都是符合要求的,自然没有问题。  问题是用户提交“非法”数据。

各位大拿, 还有没有无漏洞的方案呢?  
目前依据我的判断, 用户已经可以获取到"hidden" 变量值的。

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据  你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...

手动的话hidden当然可以拿到 就在dom节点中

用户提交"非法"数据  你如何判断它是非法的? 既然是非法的又能判断,判断出来后不继续执行不就可以了...
--------------------
“非法”结论是通过后来人工分析数据得出的。 
按照你的说法, 就是在现有js 检查判断“提交数据值”基础上, 将相应的核查重新在php上再进行一次。这个方案我觉得可以尝试一下, 前提条件是:我能够依据后台已经有的数据重新推导出前台用于判断的参数变量,而不是将前台参数变量直接提交到数据库中后使用。
此方法值得一试! 这样就不需要在session中记录加密键值什么的了。

必须不能直接进数据库   进数据库之前要检测下是否有可能引起注入攻击的代码  

除非是个人测试站,没有直接入库的.

to anglegz : 你从高度回复了我的疑惑, 不过我的应用都是B/S的,改成 B/C的目前不可能;
to anyilaoliu : 接口写安全些是一个解决方案, 用户手工网址方式提交本质就是跳过了ajax检查步骤直接送到后台;
to ahui_lcm: 是需要登录的,目前是登录后的用户(不登录是不能提交的),在同一台机器上再开一个相同的浏览器,手工在地址栏上提交非法数据。
to y244360439: 你的链接中“然后将这个值用sesseion存储起来,$_SESSEION['hash'] = $hash;
”,如何保证写session的存储过程不被用户单独调用呢?  我的理解写session过程也是 带参数的post提交,这也可以通过手工在地址栏提交, 是不是我理解得不对?
多谢各位, 还有没有其它建议? session是后台随机生成的,不会受到用户的干扰,discuz也是用的这种办法,他的很多操作都有formharsh值,就是这个原理

最近我正在写这么一个东西, 目前没有很好的办法,参数都可以模拟,后台你如何限制呢,参数又都是合法的

这样的一般  csrf

地址栏上的参数,能用$_POST取的到?你在程序里用$_POST接收表单传过来的数据。如果他用地址栏直接输入参数,难道$_POST会接收到?

模拟是另一种需求,绝对防止是不可能的。

增加难度是可以的。与需求

我一般是这么干的

具体的代码

然后就没有了,就是把最后的“?>”去掉了,这样直接提交过来的页面会因为语法错误而执行不了
没看懂

to y244360439: session是后台随机生成的,不会受到用户的干扰,discuz也是用的这种办法,他的很多操作都有formharsh值,就是这个原理 
---------------------------
我想找个类似的参考一下, 
只找到了 SWFUpload 的源码,它的处理为:
1)前台调用页面的JS 中对URL参数赋值:"PHPSESSID" : ""
2)在后台执行脚本中对sessionid检查并赋值:
// Code for Session Cookie workaround
if (isset($_POST["PHPSESSID"])) {
session_id($_POST["PHPSESSID"]);
} else if (isset($_GET["PHPSESSID"])) {
session_id($_GET["PHPSESSID"]);
}
真心没有找到在JS中如何实现"sesseion存储起来,$_SESSEION['hash'] = $hash”?  可否指导一下具体如何操作? 不行下载discuz源码在琢磨一下。
to ahui_lcm: 看了提交代码,获取变量都是通过 $_REQUEST[‘xxx']方式的,后面改$_POST,应该是代码一大改进。我这个现学现卖的半吊子 漏马甲了 :)

做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html

你可以自己?一?加密解密函?,例如:
ajax提交到??的一?url  http://localhost/a.php?key=REWTR54365EY&val=??

其中key的值是使用php的加密函?加密之後的?容(例如:自定?加密函?("要提交的?果")),提交到a.php之後用解密函?得到key的值(然後和要提交的?果作比?),看看是否符合本次提交的需求

其实可以用加密键,同样post到接受页面,在接受页面解密和验证key,

使用$_SERVER["HTTP_REFERER"]判断是不是来自你的页面。伪造$_SERVER["HTTP_REFERER"]是违法的。技术上没有破解不了的东西。

做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法, 提交加密通过Ajax的变量 data: "hash="+hash 来实现, 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法(我的前台与被调用的后台是分在不同的2个文件中的)。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用, 个人觉得这种获取过程降低了提交效率,同时也可能会泄密。 
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢? 不胜感激!

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预
---------------------------------------
1、只用 $_POST 接受提交,可使url参数无效
----> 前面ahui_lcm 提到过, 已经修改了,对于对付手工地址非法输入确实有效。
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
----> 后面可以加进去,虽然不确保安全, 也算是增加被攻破的难度。
3、利用js提交(包括动态加入识别字)。
----> 增加识别字, 考虑过增加验证码的识别方法,后来觉得用户操作会变得多一步,影响用户使用感受, 目前暂不考虑此方法了。
集思广益, 多谢各位回复 !

1、只用 $_POST 接受提交,可使url参数无效
2、在 cookie 中,置入识别字(包括sessionid)。但cookie可轻易获取,不能确保安全
3、利用js提交(包括动态加入识别字)。一般工具不会执行js,情况会有些好转。但不能排除人工跟踪后进行通讯干预

我是php新手,版主能否详细说一下2,3条是什么意思?


做进一步的说明,你可以再看下,不明白可以在网站上q我, http://www.ibihuo.com/show-60.html
------------------------------------------
我准备试用你说的加密与解密的方法, 提交加密通过Ajax的变量 data: "hash="+hash 来实现, 可是客户端获取后台PHP 生成的 $hash 值我没有很好的方法(我的前台与被调用的后台是分在不同的2个文件中的)。 目前找到获取后台PHP生成$hash值的方法也是单独通过ajax调用, 个人觉得这种获取过程降低了提交效率,同时也可能会泄密。 
可否详细说一下$_SESSEION['hash'] 前台是如何获取的呢? 不胜感激!

通过模板引擎把hash值付给前台模板

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱門文章

<🎜>:泡泡膠模擬器無窮大 - 如何獲取和使用皇家鑰匙
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
北端:融合系統,解釋
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
Mandragora:巫婆樹的耳語 - 如何解鎖抓鉤
3 週前 By 尊渡假赌尊渡假赌尊渡假赌

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

熱門話題

Java教學
1664
14
CakePHP 教程
1423
52
Laravel 教程
1321
25
PHP教程
1269
29
C# 教程
1249
24
PHP和Python:比較兩種流行的編程語言 PHP和Python:比較兩種流行的編程語言 Apr 14, 2025 am 12:13 AM

PHP和Python各有優勢,選擇依據項目需求。 1.PHP適合web開發,尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能,語法簡潔,適合初學者。

說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1? 說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1? Apr 17, 2025 am 12:06 AM

在PHP中,應使用password_hash和password_verify函數實現安全的密碼哈希處理,不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希,增強安全性。 2)password_verify驗證密碼,通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值,不適合現代密碼安全。

PHP行動:現實世界中的示例和應用程序 PHP行動:現實世界中的示例和應用程序 Apr 14, 2025 am 12:19 AM

PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務:用於購物車功能和支付處理。 2)內容管理系統:用於動態內容生成和用戶管理。 3)API開發:用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐,PHP應用的效率和可維護性得以提升。

PHP:網絡開發的關鍵語言 PHP:網絡開發的關鍵語言 Apr 13, 2025 am 12:08 AM

PHP是一種廣泛應用於服務器端的腳本語言,特別適合web開發。 1.PHP可以嵌入HTML,處理HTTP請求和響應,支持多種數據庫。 2.PHP用於生成動態網頁內容,處理表單數據,訪問數據庫等,具有強大的社區支持和開源資源。 3.PHP是解釋型語言,執行過程包括詞法分析、語法分析、編譯和執行。 4.PHP可以與MySQL結合用於用戶註冊系統等高級應用。 5.調試PHP時,可使用error_reporting()和var_dump()等函數。 6.優化PHP代碼可通過緩存機制、優化數據庫查詢和使用內置函數。 7

PHP的持久相關性:它還活著嗎? PHP的持久相關性:它還活著嗎? Apr 14, 2025 am 12:12 AM

PHP仍然具有活力,其在現代編程領域中依然佔據重要地位。 1)PHP的簡單易學和強大社區支持使其在Web開發中廣泛應用;2)其靈活性和穩定性使其在處理Web表單、數據庫操作和文件處理等方面表現出色;3)PHP不斷進化和優化,適用於初學者和經驗豐富的開發者。

PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型? PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型? Apr 17, 2025 am 12:25 AM

PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。

PHP和Python:代碼示例和比較 PHP和Python:代碼示例和比較 Apr 15, 2025 am 12:07 AM

PHP和Python各有優劣,選擇取決於項目需求和個人偏好。 1.PHP適合快速開發和維護大型Web應用。 2.Python在數據科學和機器學習領域佔據主導地位。

PHP與其他語言:比較 PHP與其他語言:比較 Apr 13, 2025 am 12:19 AM

PHP適合web開發,特別是在快速開發和處理動態內容方面表現出色,但不擅長數據科學和企業級應用。與Python相比,PHP在web開發中更具優勢,但在數據科學領域不如Python;與Java相比,PHP在企業級應用中表現較差,但在web開發中更靈活;與JavaScript相比,PHP在後端開發中更簡潔,但在前端開發中不如JavaScript。

See all articles