jquery+php:发布一小小的网站安全策略,望高手捧场 http://topic.csdn.net/u/20101007/23/90d1bd3d-9b28-4710-ae1d-f7e795d094b3.html?95533这帖子有人发了个php的curl模拟提交数据,有类似的方法,就可以将任意数据提交给你很多语言都可以办到类似的效果。如果需要安全性,服务器端一定要检测 解决方案 » 免费领取超大流量手机卡,每月29元包185G流量+100分钟通话, 中国电信官方发货 session 与客户端无无关,所以不知道楼主的思路的依据是什么 楼主的思路其实根本用不着写数据库的,你在表单页生成一个SESSION,值随机,通过隐藏表单提交到数据处理页,将接收到的该值与SESSION值比较是否相同即可。这个方法我也不知道用什么可以绕过,但怀疑一切客户提交的数据,服务器端还是要验证 听起来似乎只要把javascript禁用了就可以绕过了 其实只要用firebug就能绕过你的方法 大体上关于安全上的问题,上面几位都说清楚了~前端只不过是体验问题,后台的验证是必需。绕过前端到发数据这个,其实LZ已经有正确的思路。做法可以查考php框架,如Thinkphp。LZ这句话我还是要说一说的:暂时不考虑FLASH了,这玩意太笨重,目前的网速还承载艰难。其实不笨重,只要好好利用其特性,网速根本不是什么问题。 不可取,因为js,session 也不安全 js很容易被绕过。。直接用数据模拟 IE体检 啥东东都插入你的数据库了,很不安全多些点代码 测试下 没什么不好! 如果不在服务器端进行验证的话,感觉安全基本不可以保证啊,关于建一个表,把Session中的值隐藏放到页面上,那用户查看下源文件,你那个判断的值是什么一目了然,然后自己伪造一个页面,你根本管不了啊~~~ 请问这个正则能不能保证在有JS验证情况下的提交安全?preg_replace("/https?:\/\/([^\:\/]+).*/i", "\\1", $_SERVER['HTTP_REFERER']) == preg_replace("/([^\:]+).*/", "\\1", $_SERVER['HTTP_HOST'])) 验证表单信息,可以用jquery的验证插件 ajax到服务端验证,用户体验又好,又安全. 是啊,好像Jquery也以运行效率低著称吧。 UP~但可以判断用户是否是直接访问后台的 httpreferer 可以的...session加域名判断.. 试验了一些,目前我自己绕不过去,询问一下,高手们怎么绕进去。网站域名:www.abcd.com数据提交页(即表单所在页):a.htm 程序思路:用session记录下两个值,一个是设定好的值C=www.abcd.com/a.htm;(限定数据只能来源于该页面)另一个是读取当前页面地址的值D。当值D不等于值C时,退出。数据处理页:b.php当值D等于值C时,转入该页面b.php。b.php预设一个session,值E=www.abcd.com/a.htm ,当值E等于值D时,写入数据库。大概如此。 只前台验证?绕过前台验证的方法有N个.安照你的思路,跟本不用打开你的任何页面,用curl直接给你的程序处理页发数据就行了. 看你的项目需要多大的安全性了,一般用了session验证也差不多了 apache-2.2.9+php-5.2.6的问题 在线支付方式问题,求高手解答! 字段存的是时间戳怎么取当天的所有记录 SQL怎么写 SWFUpload 上传视频出现500错误 请问这样的伪静态该怎么配置该怎么写呢 【高分!求一个PHP程序自动采集入库的解决方案】 帮解释下GD库这串安装命令啥意思 free8使用感受 做一个搜索引擎 fwrite(): send of 16 bytes failed with errno=1 Operation not permitted 用了unserialize后 数据库的内容不能在前台显示了 大家来解释段代码
前端只不过是体验问题,后台的验证是必需。
绕过前端到发数据这个,其实LZ已经有正确的思路。
做法可以查考php框架,如Thinkphp。LZ这句话我还是要说一说的:暂时不考虑FLASH了,这玩意太笨重,目前的网速还承载艰难。
其实不笨重,只要好好利用其特性,网速根本不是什么问题。
可以的...session加域名判断..
程序思路:用session记录下两个值,
一个是设定好的值C=www.abcd.com/a.htm;(限定数据只能来源于该页面)
另一个是读取当前页面地址的值D。
当值D不等于值C时,退出。数据处理页:b.php当值D等于值C时,转入该页面b.php。b.php预设一个session,值E=www.abcd.com/a.htm ,当值E等于值D时,写入数据库。大概如此。
绕过前台验证的方法有N个.
安照你的思路,跟本不用打开你的任何页面,用curl直接给你的程序处理页发数据就行了.