从http头的referer参数中去取出来源地址
解决方案 »
- php 5.2.17安装过程中Apache configuration direcotry: 路径填什么???
- 怎样遏制蜘蛛自动发帖??
- 呃 好难呐.. 暂时没分,可以记账
- 请大家帮忙看看这个为什么不能正确显示该嵌入式日历
- 一个文章采集的问题
- 在变量前面出现@,是什么意思?谢谢100分哦 呵呵
- php只是做网站吗?
- fsockopen问题,高分求助
- 我的dreamweaver为什么有时将有中文的html文档中的中文变成乱码?
- 关于判断数据库是否有相同数据的问题
- 求救:failed to open stream: No such file or directory in
- 怎样把多个cookie值显示出来?
客户端post还是服务器对服务器post?
如果客户端post无法防范,服务器对服务器可以根据post源的ip限制
不过这两者只能对付入门者,它们都可以伪造任意表单然后提交所以现在只要是接受post的程序,都是建立在假设客户端是老实人的基础上
我不知道伪造post能造成多大风险,但的确让人不放心,但也无能为力
如果对安全要求较高,只有细心处理post上来的每一个变量
?
对来源地址进行检测。
请问唠叨,这样还怎么伪造?
=================来源地址?referer??这个太容易伪造了吧。
php程序可以随机出现绝对让他们无法伪造
出现绝对让他们无法伪造
那就在FORM中隐藏一个密钥数据。在服务器验证密钥是否合法
密钥的算法只须你知道,你可以根居日期,客户端IP,等等信息生成密钥
浏览器把表单下载到你的硬盘,然后浏览器分析表单,加上你填写的变量,referer,浏览器版本等提交给服务器
你觉得这个过程无懈可击吗?
验证码只能防止机器人自动提交,不能防止人为的提交伪造数据。
只要伪造者得到密钥数据原样提交给服务器,其他变量还不是一样伪造?
但表单中的数据对于客户端和服务器没有任何影响。
这种情况只能自己开发客户端,其实就是c/s模式
浏览器只是通用浏览器,它本来或从来就不是为了安全或者电子商务之类设计的
表单提交之后服务器要验证提交过来的这个值是否和session里的值相同那么,session可以被伪造吗?
我就遇到过,登录后两个人资料混了,session_id相同了“验证码是通过session里的某个值生成的
表单提交之后服务器要验证提交过来的这个值是否和session里的值相同”验证码当然是输入正确的验证码,但验证码以外的变量可以通过重新构造表单提交给服务器这好像和楼主的问题扯太远了,打住