PHP防csrf攻击
本文最后更新于 1477 天前,其中的信息可能已经有所发展或是发生改变。

由于用户可能会从其他途径POST过来,因此我们需要防止这种情况

原理:在页面生成一个随即串并保存在token中,用于在服务器中比对

index.php 与 temp.php 两个页面示范

index.php 页面:

<pre name="code" class="php"><?php
    session_start();
    $csrf = md5(uniqid(rand(), TRUE));  //生成token
    $_SESSION['csrf'] = $csrf;
?>
<meta charset="utf-8">
<form action="temp.php" method="post" name="form1" idf="form1">
    测试:<input type="text" name="user" id="user">
    <input type="hidden" name="csrf" id="csrf" value="<?php echo $csrf;?>">
    <input type="submit" name="submit" value="提交">
</form>
<span style="background-color: rgb(255, 255, 255);">
</span>
<span style="background-color: rgb(255, 255, 255);">
</span>

temp.php页面:

<pre name="code" class="php"><?php
session_start();
    if(isset($_POST['user']) && $_SESSION['csrf'] == $_POST['csrf']){
        echo '测试通过且 csrf:'.$_SESSION['csrf'];
    }else{
        echo '测试失败';
    }
知识共享许可协议
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇