程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php安全開發 添加隨機字符串驗證,防止偽造跨站請求

php安全開發 添加隨機字符串驗證,防止偽造跨站請求

編輯:關於PHP編程

yahoo對付偽造跨站請求的辦法是在表單裡加入一個叫.crumb的隨機串;而facebook也有類似的解決辦法,它的表單裡常常會有post_form_id和fb_dtsg。

比較常見而且也很廉價的防范手段是在所有可能涉及用戶寫操作的表單中加入一個隨機且變換頻繁的字符串,然後在處理表單的時候對這個字符串進行檢查。這個隨機字符串如果和當前用戶身份相關聯的話,那麼攻擊者偽造請求會比較麻煩。現在防范方法基本上都是基於這種方法的了

隨機串代碼實現
咱們按照這個思路,山寨一個crumb的實現,代碼如下:
復制代碼 代碼如下:
<?php   
class Crumb { 
    CONST SALT = "your-secret-salt";                                                            
    static $ttl = 7200;                                                                                           
    static public function challenge($data) {   
        return hash_hmac('md5', $data, self::SALT);   
    }                                                                                                                
    static public function issueCrumb($uid, $action = -1) {   
        $i = ceil(time() / self::$ttl);   
        return substr(self::challenge($i . $action . $uid), -12, 10);   
    }                                                                                                                
    static public function verifyCrumb($uid, $crumb, $action = -1) {   
        $i = ceil(time() / self::$ttl);                                                                              
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||   
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)   
            return true;                                                                                       
        return false;   
    }                                                                                                              

代碼中的$uid表示用戶唯一標識,而$ttl表示這個隨機串的有效時間。
應用示例
構造表單
在表單中插入一個隱藏的隨機串crumb
復制代碼 代碼如下:
<form method="post" action="demo.php">   
 <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">   
 <input type="text" name="content">   
 <input type="submit">   
 </form> 

處理表單 demo.php
對crumb進行檢查
復制代碼 代碼如下:
<?php   
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {   
    //按照正常流程處理表單   
} else {   
    //crumb校驗失敗,錯誤提示流程   


本文出自包子博客

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved