从http头的referer参数中去取出来源地址
解决方案 »
- MVC框架里的控制器数量一般是比较多还是比较少
- 在线等. php报错 急急急
- 关于json中有\的问题
- 域名列表粘到一起了,求分解。
- 请大家帮忙啊,有是乱码啊
- 在php中怎么通过button获得表单元素的值,并在按下button时将表单元素值写入数据库
- 大量初学问题求解。php文档写的不清晰啊~欢迎大家讨论。
- 想用PHP实现这个功能,怎么实现?
- Cannot load c:/php4/sapi/php4apache.dll into server: (126) 找不到指定的模块。
- 求无需数据库支持的的PHP聊天室源码
- 求救:failed to open stream: No such file or directory in
- 怎样把多个cookie值显示出来?
客户端post还是服务器对服务器post?
如果客户端post无法防范,服务器对服务器可以根据post源的ip限制
不过这两者只能对付入门者,它们都可以伪造任意表单然后提交所以现在只要是接受post的程序,都是建立在假设客户端是老实人的基础上
我不知道伪造post能造成多大风险,但的确让人不放心,但也无能为力
如果对安全要求较高,只有细心处理post上来的每一个变量
?
对来源地址进行检测。
请问唠叨,这样还怎么伪造?
=================来源地址?referer??这个太容易伪造了吧。
php程序可以随机出现绝对让他们无法伪造
出现绝对让他们无法伪造
那就在FORM中隐藏一个密钥数据。在服务器验证密钥是否合法
密钥的算法只须你知道,你可以根居日期,客户端IP,等等信息生成密钥
浏览器把表单下载到你的硬盘,然后浏览器分析表单,加上你填写的变量,referer,浏览器版本等提交给服务器
你觉得这个过程无懈可击吗?
验证码只能防止机器人自动提交,不能防止人为的提交伪造数据。
只要伪造者得到密钥数据原样提交给服务器,其他变量还不是一样伪造?
但表单中的数据对于客户端和服务器没有任何影响。
这种情况只能自己开发客户端,其实就是c/s模式
浏览器只是通用浏览器,它本来或从来就不是为了安全或者电子商务之类设计的
表单提交之后服务器要验证提交过来的这个值是否和session里的值相同那么,session可以被伪造吗?
我就遇到过,登录后两个人资料混了,session_id相同了“验证码是通过session里的某个值生成的
表单提交之后服务器要验证提交过来的这个值是否和session里的值相同”验证码当然是输入正确的验证码,但验证码以外的变量可以通过重新构造表单提交给服务器这好像和楼主的问题扯太远了,打住