PHP 表单添加隐藏 Token 阻止外部提交

最新推荐文章于 2022-07-07 18:54:02 发布
最新推荐文章于 2022-07-07 18:54:02 发布
阅读量139 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: php
原文链接:http://www.cnblogs.com/dee0912/p/4909769.html

Token 法:通过一个隐藏可变的 Token 加大攻击的难度,每次提交都需要和服务器校对,如果不通过,则为外部提交(也可以通过 session + 隐藏域来验证)。

代码:

form.php

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>Document</title>
 6 </head>
 7 <body>
 8     <?php 
 9         define('SECRET', "67%$#ap28");
10         function m_token() {
11             $str = mt_rand(1000, 9999);
12             $str2 = dechex($_SERVER['REQUEST_TIME'] - $str);
13             return $str.substr(md5($str.SECRET), 0, 10).$str2;
14         }
15     ?>
16     <form action="dopost.php" method="post">
17         name:<input type="text" name="name" id="">
18         <input type="hidden" name="token" value="<?php echo m_token();?>">
19         <input type="submit" value="提交">
20     </form>
21 </body>
22 </html>

 

dopost.php

<?php
define('SECRET', "67%$#ap28");

function v_token($str, $delay = 2) {
    $rs = substr($str, 0, 4);
    $middle = substr($str, 0, 14);
    $rs2 = substr($str, 14, 8);
    return ($middle == $rs.substr(md5($rs.SECRET), 0, 10)) 
            && ($_SERVER['REQUEST_TIME'] - hexdec($rs2) - $rs <= $delay);
}
var_dump(v_token($_POST['token']));

其中 $delay 表示时间延迟,在不同的程序根据根据业务来自行修改

 

输出:

boolean true

 

转载于:https://www.cnblogs.com/dee0912/p/4909769.html

前后端分离重复提交_防止表单重复提交(二)
weixin_39853843的博客
01-11 1860
实现原理:1、页面和后台同步存入一个token,一旦刷新页面,此token都是会刷新的2、提交表单时,会带上这个标识token3、请求后台,将此token和后台存入的token比对3.1 校验token通过,成功提交表单,并移除token3.2 校验token不通过,给出前端提示,但不做移除token3.3 校验token通过,但表单校验不通过时,给出前端提示,但不做移除token针对第一点,如果...
php企业微信审批流程
weixin_45618271的博客
04-29 1174
php企业微信审批流程
php token防止恶意提交
热门推荐
流浪天空
05-22 1万+
最近后台被扫描工具塞了好多数据,前不久已经做过处理,试用了UCHOME的formhash的方法,但是效果不是很明显,所以考虑要黑盒传递一个密钥,不然如果可以抓取到你表单中的隐藏域的话,表面上的一个令牌是不行的,必须要有一个key来验证这个令牌,并且这个KEY要能够每次都获取的不一样。下面分享我的代码:
php隐藏表单提交表单提交表单_php实现过滤表单提交中html标签的方法
weixin_39612554的博客
03-09 166
本文实例讲述了php实现过滤表单提交中html标签的方法。分享给大家供大家参考。具体实现方法如下:有时候我们做的简单评论功能会发现有提交很多的html标签,这些标签会导致页面有一些外连的情况,下面我们一起来看在php中过滤表单提交的html标签方法。近评论中有一些机器人提交的post链接,都是一些垃圾评论。为了减少这种无谓的链接内容出现,其实是可以用php来删除表单POST提交的html标签,这样...
php隐藏表单提交表单提交表单_表单提交php处理表单数据的实例
weixin_34138192的博客
03-09 385
先来看一下html form表单的源码:Feedback FormName:Email:表单是以开头,以结束。action表示要将表单提交到哪个文件进行处理数据,这里是提交到feedback.php文件进行处理表单数据。method表示以何种方式提交表单,一般有两种方式提交表单,post方式和get方式。get方式提交表单,数据会显示在url链接上,post方式提交表单,数据是隐藏的,不会显示在u...
php隐藏表单提交表单提交表单_php提交form表单的两种方法
weixin_42309599的博客
03-09 271
php提交form表单:处理GET请求实现的功能是输入姓名后页面显示“Hello XXX”创建html文件hello.html:欢迎创建PHP文件hello.php:/*** Created by PhpStorm.* User: Administrator* Date: 2015/6/30* Time: 15:03*/header("Content-type: text/html; charse...
php判断正常访问和外部访问的示例
10-26
正常访问通常指的是用户通过网页的表单提交或者是通过网页链接直接访问页面,而外部访问则可能涉及到API调用、爬虫访问等场景。在某些情况下,我们需要对访问来源进行控制,以保证应用程序的安全性。以下将详细介绍...
CSRF Token PHP
最新发布
12-27
### PHP中实现和使用CSRF Token 为了有效防御跨站请求伪造(CSRF),在PHP应用程序中引入...这种机制可以有效地阻止未经许可的外部实体冒充真实用户发起非法指令,因为它们无法得知有效的CSRF Token是什么样的[^3]。
php防止伪造数据从地址栏URL提交的方法
10-25
你正在从外部提交数据!请立即终止!"); } } ?> ``` 然而,这种方法并不十分可靠。HTTP_REFERER可以被伪造,或者在某些情况下(如用户直接在地址栏输入URL)可能不会被发送。因此,虽然这是一种防御措施,但不...
php隐藏提交,php怎么隐藏标签
weixin_39653405的博客
03-23 76
php隐藏标签的实现方法:首先打开相应的PHP示例文件;然后在php当中做一个标记flag传递过来;最后在html页面添加“>”即可。本文操作环境:windows7系统、PHP7.1版,DELL G3电脑具体问题:关于php控制div标签隐藏的问题testfunction a(){echo " document.getElementById('tes').style.display='non...
php token的生成
xiaoxinshuaiga的博客
05-22 1916
--->非开放性平台 --->公司内部产品 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要用户登录就可访问; 针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。 第一个token是针对接口的(api_token); 第二个token是针对用户的(user_token); .
防止表单重复提交PHP生成token并自动更新
uxff的专栏
03-01 1111
PHP生成token并自动更新。 在业务中,经常会遇到重复提交问题。token是一种解决表单重复提交的思路,token 原理大致为: 1:显示表单的那个 action 中使用 makeToken() 生成一个随机的 token值,称作 requestToken ,并存放在服务端(session或者cache中),并且传递一份到页面中 2:表单页面使用一个隐藏表单域获取后端传过来的 r
任务栏地址隐藏参数 token隐藏
good1223215703的博客
07-07 1315
适应所有业务场景,地址栏隐藏参数 token隐藏
php 生成token,PHP随机生成token
weixin_28820113的博客
03-10 1843
使用token的方式,可以控制用户在这个时间内的权限,代码如下:[', ']', 'h', ';', 'W', '.','/', '|', ':', '1', 'E', 'L', '4', '&', '6', '7', '#', '9', 'a','A', 'b', 'B', '~', 'C', 'd', '>', 'e', '2', 'f', 'P', 'g', ')','?', ...
PHP 生成token 示例
OrangeHeng的博客
07-05 7120
接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要用户登录就可访问; PHP Token(令牌) 针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。 第一个token是针对接口的(ap
php 生成自定义token进行验证
<?php echo '想起来了写一点'?>
09-30 1100
/** * name: libo * Date: 2020/9/29 * 生成token */ public function actionObtaintoken($mobile){ //用户名、此时的时间戳,并将过期时间拼接在一起 // $mobile = '13718767XXX'; $admin = $mobile; //获取前台传来的用户账号 $time = time(); ...
Form提交隐藏Token验证
weixin_30830327的博客
01-16 750
前端声称一个Token @Html.AntiForgeryToken() 后台对Token进行验证 AntiForgery.Validate(); 转载于:https://www.cnblogs.com/ideacore/p/6288876.html
php form 上传_php提交form表单处理方法
weixin_42521731的博客
03-08 295
php提交form表单处理方法导语:php提交form表单的2种方法和简单的示例,十分的`实用,以下的是百分网小编为大家搜集的php提交form表单实例,希望对你有所帮助。处理GET请求实现的功能是输入姓名后页面显示“Hello XXX”创建html文件hello.html:?12345678910111213欢迎创建PHP文件hello.php:?12345678910111213/*** Cr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值