php安全开发 添加随机字符串验证,防止伪造跨站请求

yipeiwu_com6年前PHP代码库

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串;而facebook也有类似的解决办法,它的表单里常常会有post_form_id和fb_dtsg。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串,然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话,那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了

随机串代码实现
咱们按照这个思路,山寨一个crumb的实现,代码如下:

复制代码 代码如下:

<?php   
class Crumb { 
    CONST SALT = "your-secret-salt";                                                            
    static $ttl = 7200;                                                                                           
    static public function challenge($data) {   
        return hash_hmac('md5', $data, self::SALT);   
    }                                                                                                                
    static public function issueCrumb($uid, $action = -1) {   
        $i = ceil(time() / self::$ttl);   
        return substr(self::challenge($i . $action . $uid), -12, 10);   
    }                                                                                                                
    static public function verifyCrumb($uid, $crumb, $action = -1) {   
        $i = ceil(time() / self::$ttl);                                                                              
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||   
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)   
            return true;                                                                                       
        return false;   
    }                                                                                                              

代码中的$uid表示用户唯一标识,而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb

复制代码 代码如下:

<form method="post" action="demo.php">   
 <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">   
 <input type="text" name="content">   
 <input type="submit">   
 </form> 

处理表单 demo.php
对crumb进行检查
复制代码 代码如下:

<?php   
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {   
    //按照正常流程处理表单   
} else {   
    //crumb校验失败,错误提示流程   


本文出自包子博客

相关文章

PHP实现的简单异常处理类示例

本文实例讲述了PHP实现的简单异常处理类。分享给大家供大家参考,具体如下: <?php header('content-type:text/html;charset=U...

PHP ajax 异步执行不等待执行结果的处理方法

短地址生成应用中,要根据长地址生成网页快照,这个生成时间非瞬发,不可预估。 所以前台方面采用的方案一般为先展示生成的短地址,再定期AJAX轮查网页快照是否生成完毕。 So,PHP代码这里...

php使用imagecopymerge()函数创建半透明水印

php使用imagecopymerge()函数创建半透明水印

使用imagecopymerge() 函数创建半透明水印,供大家参考,具体内容如下 <?php // 加载要加水印的图像 $im = imagecreatefromjp...

PHP函数import_request_variables()用法分析

本文实例分析了PHP函数import_request_variables()用法。分享给大家供大家参考,具体如下: import_request_variables 函数可以在 regi...

php表单敏感字符过滤类

本文实例讲述了php表单敏感字符过滤类及其用法。分享给大家供大家参考。具体分析如下: 复制代码 代码如下: /** * 表单生成验证文件 */ $_form = new formH...