0
我是PHP新手,因此我刚刚发现,您刚刚发现可以直接访问像domain.com/process.php这样的页面,并且页面仍然可以运行。如何防止非法提交请求?
如何防止用户直接访问该页面并确保他们在提交表单后进入process.php?
A
回答
1
简单地说,使用此代码:
<?php
if(!isset($_POST['submit']))
{
echo 'Try accessing this page by pressing submit button'. '<br />';
echo "<a href='form.html'>Goto Form Page</a>";
exit();
}
?>
// here 'submit' is the name attribute within your input tag for submit button
/*
It simply means if submit button is not pressed, echo the following message and
exit don't run anything else. You can also use die('Your message here')
instead of exit();
*/
+0
完美。有效。 – ariel 2012-04-22 02:43:48
+0
看看这个。我做了一些编辑,使其更加用户友好。 – yusufiqbalpk 2012-04-22 02:58:12
1
也许您正在寻找?也许有另一种或更好的方式来做到这一点,但我不确定。
if(isset($_POST['submit']))
{
///process form
}
,但某些情况下可能无法在这种情况下,你可以添加一个隐藏字段:
<input type='hidden' name='submit' />
隐藏字段应始终被提交。
0
使用会话阻止用户直接访问process.php。像index.php使用session_start(); $_SESSION['access']="true";和process.php页,
session_start();
<?php
if(isset($_SESSION['access'])){
?>
<form >.....your process form here....
<?php
}else{
echo "Direct access deny";
die;
}
即使这样可以实现自动化,先去索引页,然后进程页自动,您可以使用验证码,以避免它。
0
下面是如何从运行这两个使用一组会话的组合。如果请求是POST检查停止process.php 2例(别人刚刚提到检查submit已设置,但机器人只需将该值添加到其参数中,但通过使用随机密钥,机器人必须访问表单页并至少获得一次密钥,还可以获得一些额外的安全性取消设置会话变量,以便process.php只会在每个表单视图中运行一次,这会减慢(但不会阻止)暴力或垃圾邮件发送者:
表Page
<?php
session_start();
$_SESSION['process_key']=md5(microtime(true));
?>
<p>Form</p>
<form method="POST" action="process.php">
<input type="hidden" name="key" value="<?=$_SESSION['process_key'];?>">
<p><input type="submit" value="Submit" name="submit"></p>
</form>
process.php
<?php
session_start();
if($_SERVER['REQUEST_METHOD'] =='POST' && isset($_SESSION['process_key']) && $_POST['key'] == $_SESSION['process_key']){
//process form
...
...
unset($_SESSION['process_key']);
}else{
header('Location: ./index.php');
die;
}
?>
或替代方法是发布形式回到脚本,包括process.php。
<?php
//Form Page
session_start();
define('RUN',true);
if($_SERVER['REQUEST_METHOD'] =='POST' && isset($_SESSION['process_key']) && $_POST['key'] == $_SESSION['process_key']){
//process form
include('process.php');
die;
}else{
$_SESSION['process_key']=md5(microtime(true));
//echo form
?>
<p>Form</p>
<form method="POST" action="">
<input type="hidden" name="key" value="<?=$_SESSION['process_key'];?>">
<p><input type="submit" value="Submit" name="submit"></p>
</form>
<?php
} ?>
然后必须在process.php的顶部,它不能运行如果它不是从另一个文件包含:
<?php if (!defined("RUN")){header ("Location: ./index.php");} ?>
相关问题
- 1. 如何防止表单提交非提交按钮?
- 2. 如何阻止非浏览器客户端提交请求?
- 3. AngularJS:如何防止请求
- 4. 如何防止ajax请求?
- 5. 防止提交
- 6. 防止用户注销时提交AJAX请求...?
- 7. 如何防止aui-form提交,当aui要求提交验证器为空时
- 8. 如何防止API请求源欺骗?
- 9. 如何防止请求重复?
- 10. 如何防止跨域的Ajax请求?
- 11. 如何防止Backbone.js发送OPTIONS请求?
- 12. 如何防止Url.RouteUrl(...)从当前请求
- 13. 防止长请求请求超时
- 14. 如何防止textarea maxlength阻塞提交
- 15. 如何防止按钮提交表格
- 16. 如何防止按钮提交?
- 17. 如何防止重复表单提交
- 18. 如何防止表单提交默认?
- 19. 如何防止提交输入元素
- 20. 如何防止mysql隐式提交
- 21. 如何防止表单提交JQuery
- 22. 如何防止linkbutton的双重提交?
- 23. 如何防止地方提交审批?
- 24. 如何防止提交后刷新?
- 25. 如何停止未提交的提交关闭的拉取请求
- 26. 防止缓存POST请求
- 27. 防止堆叠AJAX请求
- 28. 防止多个AJAX请求
- 29. 如何中止交付ActionMailer请求?
- 30. 如何防止在输入时提交表单提交
也许你应该阅读更多关于CSRF保护 – hamczu 2012-04-22 02:46:27