php安全开发 添加随机字符串验证,防止伪造跨站请求
2015-01-24信息快讯网
伪造跨站请求比较难以防范,而且危害巨大,攻击者可以通过这种方式恶作剧,发spam信息,删除数据等等。那怎么防范伪造跨站攻击呢
yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。
比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了
随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:
<?php
class Crumb {
CONST SALT = "your-secret-salt";
static $ttl = 7200;
static public function challenge($data) {
return hash_hmac('md5', $data, self::SALT);
}
static public function issueCrumb($uid, $action = -1) {
$i = ceil(time() / self::$ttl);
return substr(self::challenge($i . $action . $uid), -12, 10);
}
static public function verifyCrumb($uid, $crumb, $action = -1) {
$i = ceil(time() / self::$ttl);
if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
return true;
return false;
}
}
代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb
<form method="post" action="demo.php"> <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>"> <input type="text" name="content"> <input type="submit"> </form>
处理表单 demo.php
对crumb进行检查
<?php
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {
//按照正常流程处理表单
} else {
//crumb校验失败,错误提示流程
}
本文出自包子博客
Win下如何安装PHP的APC拓展
如何使用“PHP” 彩蛋进行敏感信息获取
浅析虚拟主机服务器php fsockopen函数被禁用的解决办法
浅析php fwrite写入txt文件的时候用 \r\n不能换行的问题
一个漂亮的php验证码类(分享)
处理(php-cgi.exe - FastCGI 进程超过了配置的请求超时时限)的问题
解析php下载远程图片函数 可伪造来路
PHP随机字符串生成代码(包括大小写字母)
php fsockopen伪造post与get方法的详解
深入PHP获取随机数字和字母的方法详解
基于php 随机数的深入理解
ajax取消挂起请求的处理方法
PHP中使用cURL实现Get和Post请求的方法
PHP生成随机用户名和密码的实现代码
php设计模式小结
PHP下使用CURL方式POST数据至API接口的代码
PHP中通过HTTP_USER_AGENT判断是否为手机移动终端的函数代码
PHP-redis中文文档介绍
php中使用redis队列操作实例代码
无需重新编译php加入ftp扩展的解决方法
用php随机生成福彩双色球号码的2种方法
PHP获取http请求的头信息实现步骤
php从数组中随机抽取一些元素的代码
php curl 伪造IP来源的实例代码
php随机输出名人名言的代码
shopex主机报错误请求解决方案(No such file or directory)
php 伪造本地文件包含漏洞的代码
php数组函数序列 之shuffle()和array_rand() 随机函数使用介绍
php中防止伪造跨站请求的小招式
判断Keep-Alive模式的HTTP请求的结束的实现代码