当前位置：文江博客话题详情

如何防止欺骗性发布到 PHP 类/类系统

发布于 2024-12-25 20:02:27 字数 297 浏览 2 评论 0原文

我正在尝试制作一个类似/不同的系统，当用户在帖子上单击“喜欢”时，他/她的用户ID（存储在会话中）和帖子ID将通过ajax调用存储在数据库中。

然后我想，如果某个用户在另一个域上制作一个带有不可见输入字段（其中有他的帖子 ID 之一）的 html 表单，并将其链接提供给已检查“稍后记住我”或正在查看我的网站的用户，会怎么样。

用户将单击按钮，表单会将帖子 ID 发布到我的网站，会话包含用户 ID，这些将存储在数据库中。

我想不出什么好的解决办法。有没有比 HTTP 引用更可靠的方法来防止这种情况发生？

提前致谢

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

日记撕了你也走了 2025-01-01 20:02:27

一种方法是将特定于用户会话的秘密变量插入到 HTML 中。这可以防止跨站点伪造。

在 PHP 中，您将生成一个随机“密钥”并将其存储在会话中：

$_SESSION['myFormVar'] = md5(mt_rand());

然后在表单中，您将添加为隐藏变量：

<input type="hidden" name="chkVar" value="<?=$_SESSION['myFormVar']?>"/>

您应该通过 POST 提交表单，最好通过 HTTPS 提交，这会使其变得更难（但不是不可能）截获 chkVar 的值。

在处理您发布的表单的代码中，将发布的 chkVar 与您的会话变量进行比较。在理想情况下，每个请求都会有一个唯一的 chkVar，但是使用整个会话中相同的 chkVar 通常效果很好，并且可以防范大多数 csrf 攻击。

One way is to insert a secret variable into the HTML which is specific to a user's session. This can prevent cross site forgery.

In PHP you'd generate a random 'key' and store it in the session:

$_SESSION['myFormVar'] = md5(mt_rand());

Then in a form, you'd add as a hidden variable:

<input type="hidden" name="chkVar" value="<?=$_SESSION['myFormVar']?>"/>

You should submit your form via POST and preferably over HTTPS, making it harder (but not impossible) to intercept the value of chkVar.

In the code that processes your posted form, compare the posted chkVar against your session variable. In an ideal world, you'd have a unique chkVar per request, however using one which is the same for an entire session often works fine and guards against most csrf attacks.

回复收藏 0 原文