0

为了防止会话劫持,我编写了以下三个函数。他们工作。我在脚本开头调用 set_auth_token 。然后在 html 表单中调用 get_auth_token。表格发布后,我调用 check_auth_token。但是,有时在用户填写表格后,如果填写错误,他们往往会按 F5/Refresh。这会导致页面“死亡”。在填写表格之前不会发生这种情况。

我可以做些什么来改进这些,以便他们不会在每次用户按下刷新时死掉?

function set_auth_token()
{
   if (!isset($_SESSION['auth_token']))
   {
      $_SESSION['auth_token'] = hash('sha256',rand().time().$_SERVER['HTTP_USER_AGENT'].$_SERVER['REQUEST_URI']);
   }
}

get_auth_token 总是在 set_auth_token 被调用后被调用,因此如果找不到授权令牌,它就会死掉:

function get_auth_token()
{
   if (isset($_SESSION['auth_token']))
   {
      return $_SESSION['auth_token'];   
   }
   else
   {
      die('"No auth token."');
   }
}

导致页面死机的函数:

function check_auth_token()
{
   if (array_key_exists('auth_token', $_SESSION) && array_key_exists('auth_token', $_POST))
   {
      if ($_SESSION['auth_token'] == $_POST['auth_token'])
      {
         $_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT'] . $_SERVER['REQUEST_URI']);
      }
      else
      {
         die('Woah! It seems like you pressed Refresh (or Back/Forward). Just click here to sort it out.'); # TODO: hyperlink silly
      }
   }
   else
   {
      die('no auth token');
   }
}

干杯。

4

1 回答 1

1

我的猜测(根据您的评论)是当用户刷新时,他们再次发送他们的 POST 数据,但是auth_token在脚本的开头正在更新,因此$_POST(在上一页上生成)中的值将不再等于新值(在脚本开头生成)。

您应该查看Post/Redirect/Get以停止重新发送 Post 数据。

您也可以考虑在验证或使现有密钥无效之前不重新生成密钥。

于 2011-04-05T00:07:27.703 回答