php安全开发添加随机字符串验证，防止伪造跨站请求

更新时间：2013年02月14日 23:06:07 作者：

伪造跨站请求比较难以防范，而且危害巨大，攻击者可以通过这种方式恶作剧，发spam信息，删除数据等等。那怎么防范伪造跨站攻击呢

yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串；而facebook也有类似的解决办法，它的表单里常常会有post_form_id和fb_dtsg。

比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串，然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了

随机串代码实现
咱们按照这个思路，山寨一个crumb的实现，代码如下：

复制代码代码如下:

<?php    
class Crumb {  
    CONST SALT = "your-secret-salt";                                                             
    static $ttl = 7200;                                                                                            
    static public function challenge($data) {    
        return hash_hmac('md5', $data, self::SALT);    
    }                                                                                                                 
    static public function issueCrumb($uid, $action = -1) {    
        $i = ceil(time() / self::$ttl);    
        return substr(self::challenge($i . $action . $uid), -12, 10);    
    }                                                                                                                 
    static public function verifyCrumb($uid, $crumb, $action = -1) {    
        $i = ceil(time() / self::$ttl);                                                                               
        if(substr(self::challenge($i . $action . $uid), -12, 10) == $crumb ||    
            substr(self::challenge(($i - 1) . $action . $uid), -12, 10) == $crumb)    
            return true;                                                                                        
        return false;    
    }                                                                                                               
}  

代码中的$uid表示用户唯一标识，而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb

复制代码代码如下:

<form method="post" action="demo.php">    
 <input type="hidden" name="crumb" value="<?php echo Crumb::issueCrumb($uid)?>">    
 <input type="text" name="content">    
 <input type="submit">    
 </form>  

处理表单 demo.php
对crumb进行检查

复制代码代码如下:

<?php    
if(Crumb::verifyCrumb($uid, $_POST['crumb'])) {    
    //按照正常流程处理表单    
} else {    
    //crumb校验失败，错误提示流程    
}  

本文出自包子博客

您可能感兴趣的文章:

随机字符串验证

php apache开启跨域模式过程详解
这篇文章主要介绍了php apache开启跨域模式过程详解,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
2019-07-07
php实现URL加密解密的方法
这篇文章主要介绍了php实现URL加密解密的方法,结合实例形式分析了php针对URL字符串进行加密解密操作的相关技巧,需要的朋友可以参考下
2016-11-11
PHP编程基本语法快速入门手册
这篇文章主要介绍了PHP编程基本语法快速入门的一些知识,包括PHP的数组与循环语句等基础知识点,需要的朋友可以参考下
2016-01-01
PHP defined()函数的使用图文详解
在本篇文章里小编给各位分享的是关于PHP defined()函数的使用图文内容，有需要的朋友们参考学习下。
2019-07-07
PHP实现的限制IP投票程序IP来源分析
这篇文章主要介绍了PHP实现的限制IP投票程序,针对投票程序中客户端IP的判断方法进行了深入分析,并给出了伪造IP的方法供大家参考了解,需要的朋友可以参考下
2016-05-05
php获取url参数方法总结
这篇文章主要介绍了php获取url参数方法,实例总结了利用parse_url()函数解析URL的方法,需要的朋友可以参考下
2014-11-11
PHP设计模式之适配器模式原理与用法分析
这篇文章主要介绍了PHP设计模式之适配器模式,简单描述了适配器模式的概念、原理并结合实例形式分析了php类适配器模式与对象适配器模式的具体定义与使用方法,需要的朋友可以参考下
2018-04-04
IP攻击升级，程序改进以对付新的攻击
我上一篇文章《最新开发的网站防IP攻击代码，超级有用》写了一个完整的防止网络恶意IP攻击的方案，使用了一个月，效果良好。
2010-11-11
PHP中JSON的应用技巧
这篇文章主要介绍了关于JSON以及JSON在PHP中的应用技巧，需要的朋友可以过来参考下，希望对大家有所帮助。
2015-10-10
php字符串函数学习之substr()
这篇文章主要介绍了php字符串函数学习之substr(),本文讲解了它的定义和用法、参数描述、提示和注释以及多个使用示例 ,需要的朋友可以参考下
2015-03-03