国产亚洲电影,97久久天天综合色天天综合色hd,亚洲综合av一区

yahoo對付偽造跨站請求的辦法是在表單里加入一個(gè)叫.crumb的隨機(jī)串；而facebook也有類似的解決辦法，它的表單里常常會有post_form_id和fb_dtsg。

比較常見而且也很廉價(jià)的防范手段是在所有可能涉及用戶寫操作的表單中加入一個(gè)隨機(jī)且變換頻繁的字符串，然后在處理表單的時(shí)候?qū)@個(gè)字符串進(jìn)行檢查。這個(gè)隨機(jī)字符串如果和當(dāng)前用戶身份相關(guān)聯(lián)的話，那么攻擊者偽造請求會比較麻煩。現(xiàn)在防范方法基本上都是基于這種方法的了

隨機(jī)串代碼實(shí)現(xiàn)
咱們按照這個(gè)思路，山寨一個(gè)crumb的實(shí)現(xiàn)，代碼如下：
復(fù)制代碼代碼如下:
<?php
class Crumb {
    CONST SALT = "your-secret-salt";
    static $ttl = 7200;
    static public function challenge($data) {
        return hash_hmac('md5', $data, self::SALT);
    }
    static public function issueCrumb($uid, $action = -1) {
        $i = ceil(time() / self::$ttl);
        return substr(self::challenge($i . $action . $uid), -12, 10);
    }
    static public function verifyCrumb($uid, $crumb, $action = -1) {
        $i = ceil(time() / self::$ttl);
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)
            return true;
        return false;
    }
}

代碼中的$uid表示用戶唯一標(biāo)識，而$ttl表示這個(gè)隨機(jī)串的有效時(shí)間。
應(yīng)用示例
構(gòu)造表單
在表單中插入一個(gè)隱藏的隨機(jī)串crumb
復(fù)制代碼代碼如下:
<form method="post" action="demo.php">
<input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">
<input type="text" name="content">
<input type="submit">
</form>

處理表單 demo.php
對crumb進(jìn)行檢查
復(fù)制代碼代碼如下:
<?php
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {
    //按照正常流程處理表單
} else {
    //crumb校驗(yàn)失敗，錯(cuò)誤提示流程
}

本文出自包子博客

php技術(shù)：php安全開發(fā) 添加隨機(jī)字符串驗(yàn)證，防止偽造跨站請求，轉(zhuǎn)載需保留來源！

鄭重聲明：本文版權(quán)歸原作者所有，轉(zhuǎn)載文章僅為傳播更多信息之目的，如作者信息標(biāo)記有誤，請第一時(shí)間聯(lián)系我們修改或刪除，多謝。

色尼玛亚洲综合影院,亚洲3atv精品一区二区三区,麻豆freexxxx性91精品,欧美在线91

php安全開發(fā) 添加隨機(jī)字符串驗(yàn)證，防止偽造跨站請求

相關(guān)文章閱讀