如何确认 PHP 中的提交来源?检查 HTTP 引用头以确保请求来自同一域名。验证 HTTP POST 数据中特定字段的值是否与预期匹配。使用 CSRF 令牌以防止跨站请求伪造 (CSRF) 攻击。通过将盐添加到提交的数据中并散列数据来防止伪造。
如何确认 PHP 中的 submit 来源
在 PHP 中,确认 submit 来源对于防止伪造请求至关重要。以下方法可用于识别发出请求的页面:
1. 检查 HTTP 引用头
HTTP 引用头包含了用户访问当前页面的 URL。通过检查此头,你可以确定请求是否来自同一域名:
立即学习“PHP免费学习笔记(深入)”;
if (isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], 'yourdomain.com') !== false) {
// 请求来自同一域名
}2. 检查 HTTP POST 数据
HTTP POST 数据包含了表单提交的数据。你可以检查特定字段,如隐藏字段,以确保它与预期的值匹配:
动态WEB网站中的PHP和MySQL:直观的QuickPro指南第2版
下载
动态WEB网站中的PHP和MySQL详细反映实际程序的需求,仔细地探讨外部数据的验证(例如信用卡卡号的格式)、用户登录以及如何使用模板建立网页的标准外观。动态WEB网站中的PHP和MySQL的内容不仅仅是这些。书中还提到如何串联JavaScript与PHP让用户操作时更快、更方便。还有正确处理用户输入错误的方法,让网站看起来更专业。另外还引入大量来自PEAR外挂函数库的强大功能,对常用的、强大的包
if (isset($_POST['nonce']) && $_POST['nonce'] === 'expected_nonce') {
// 请求来自预期的表单
}3. 使用 CSRF 令牌
CSRF 令牌是一种随机生成的字符串,在每次会话中都会更改。它可以作为隐藏字段提交,并与会话中的令牌进行比较:
// 在会话中存储 CSRF 令牌
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
// 在表单中包含隐藏字段
// 检查提交的令牌
if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) {
// 请求来自预期的表单
}4. 使用 Salt
Salt 是一个随机字符串,添加到提交的数据中以防止伪造。它与数据本身一起散列,如果 salt 不同,则无法再现相同的散列:
// 生成盐
$salt = bin2hex(random_bytes(32));
// 将盐添加到数据
$data = 'some_data' . $salt;
// 散列数据
$hash = hash('sha256', $data);
// 检查提交的 hash
if (isset($_POST['hash']) && $_POST['hash'] === $hash) {
// 请求来自预期的表单
}通过使用这些方法之一或多种方法,你可以确定 PHP 中 submit 的来源,防止伪造请求并提高 Web 应用程序的安全性。
