2

我一直在谷歌搜索,但仍然没有答案,所以我决定在这里问这个问题: PHP 中有没有办法检查我在某些脚本中收到的数据是否来自页面上的特定表单?我问是因为每个人都可以看到我用于将数据保存到我的数据库的脚本的名称,所以如果有人能够找出整个 URL,他也能够向脚本发送一些假数据,我需要一个条件,即仅当数据来自我页面上的正确表单时才会触发保存过程。

我正在使用 jQuery 调用 AJAX 函数,所以基本上如果我单击“发送”按钮,就会触发 $.POST() 方法来调用脚本以保存数据。

谢谢,托马斯

4

4 回答 4

2

使用令牌检查请求是否有效

提交数据时,您始终可以添加某种安全令牌:

令牌可以很容易地扩展到许多不同的用途,并且在检查某些请求是否有效时覆盖广泛的区域,例如,您可以让您的非关键表单向公众开放,要求用户从某个页面获取他们的密钥(强制他们打开该页面),然后在提交数据时使用这些键来识别它们。

当然,所有这些都可以对用户完全透明,因为您可以通过 cookie(或会话 cookie,在这里无关紧要,因为服务器密钥在使用后应更改并在指定时间内失效或当用户的身份发生变化时)。
在这个使用示例中,只有打开首页的用户才能向服务器提交数据。

另一种情况是当 cookie 在包含用于向服务器提交数据的表单的同一页面上分发时。每个打开页面的用户都会有他们的密钥来立即提交数据,但是如果有人试图从外部发出请求,它将失败。
请参阅OWASP Cross Site Request Forgery
codinghorror.com 博客 CSRF and You

只有AJAX?

这是我对另一个问题的回答,这个答案涵盖了向 ajax 请求插入附加数据的不同方法:Liftweb:创建一个可以传统方式和 AJAX 提交的表单(仔细查看 

$.ajax({ 
    ... 
    data: /* here */ 
    ...

目前我正在以这种方式使用令牌:

用于提交的表格

这个隐藏的输入可以添加到表单中,这不是必需的,因为您可以使用前面在另一个答案中描述的方法。 

<input type="hidden" name="formid" value="<?php echo generateFormId(); ?>" />

函数 generateFormId()

只需生成随机字符串并将其保存到会话存储中 

function generateFormId() {
    // Insert some random string: base64_encode is not really needed here
    $_SESSION['FORM_ID'] = 'FormID'.base64_encode( uniqid() );
    // If you want longer random string mixed with some other method just add them:
    //$_SESSION['FORM_ID'] = 'FormID'.base64_encode( crypt(uniqid()).uniqid('',true) );
    return $_SESSION['FORM_ID'];
}

处理提交的表单数据

if (!isset($_SESSION['FORM_ID']) || $_SESSION['FORM_ID'] != $_POST['formid']) {
    // You can use these if you want to redirect user back to form, preserving values:
    //$_SESSION['RELOAD_POST'] = $_POST;
    //$_SESSION['RELOAD_ID'] = uniqid('re');
    echo 'Form expired, cannot submit values.';
    //echo '<a href="form.php?reload='.$_SESSION['RELOAD_ID'].'">Go back and try again</a>';
    exit(1); // <== Stop processing in case of error.
}

如果您需要检查哪个表单正在提交数据

然后,您可以在生成 id 时添加前缀,并在处理表单数据时检查该前缀。

当一个 php 脚本处理许多不同的形式时,就会出现这种情况。

请记住,防止恶意用户的唯一最终答案是从您的服务器上拔下所有电线......

于 2012-05-06T11:20:14.623 回答
1

这是一个有趣的话题,但你错过了一个重要的点:垃圾邮件机器人/坏用户也可以通过使用特定的表单页面(!)来轰炸你的数据库。

因此,问题不是如何检查请求是否来自该页面,而是如何检查他是普通用户还是机器人/垃圾邮件发送者/机器人。

使用验证码进行操作,例如http://www.recaptcha.net

如果我稍微误解了这个问题:如果您想确保请求来自“真实”用户,您将不得不使用登录系统/用户系统并检查用户 ID/密码(通过数据库或会话)每个你想做一个数据库请求的时间。

于 2012-05-06T10:45:11.790 回答
0

您可以通过检查以下内容来验证页面是否通过 AJAX 被请求:

strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest'

您还可以检查HTTP_REFERER

但听起来您正在尝试保护处理易受攻击数据的页面。这需要的不仅仅是上述两件事。我建议在谷歌上搜索“CSRF Forgery”以获取更多信息。

于 2012-05-06T10:56:35.873 回答
0

这些是你应该看看的东西。

  1. Capthcas。
  2. 推荐人检查。
  3. 使用 POST 而不是 GET。[仍然 Curl 可以自动化它。]
于 2012-05-06T11:05:32.280 回答