您好所有,PHP后端/前端安全
同时利用我的时间在洗澡时我虽然的一些有趣的事情。在PHP中,你怎么知道,如果提交用户的形式是有效的,而不是欺诈(即一些其他形式的其他网站用行动=‘http://mysite.com/sendData.php’)?因为真的,任何人都可以创建一个表单,尝试在真正的后端发送和匹配$ _POST变量。我怎样才能确保是脚本是合法的(从我的网站,只有我的网站),所以我没有某种形式的克隆站点数据窃取的事情怎么回事?
我有一些想法,但不知道从哪里开始
- 生成隐藏的输入字段
- 尝试(但可能)一次性密钥和商店抢了表单所在的URL (大概是不可能的)
- 使用了一些非常复杂的PHP好吃的东西来确定数据发送(可能)
任何想法?谢谢大家!
随机一次性密钥是要走的路。不要试图检查请求来自哪里,即使有些方法可以很容易地被欺骗。 – Mahn
这是有据可查的,一个简单的Google搜索将为您提供大量有关该主题的信息。即使您知道数据来自哪里,编辑页面的HTML也非常容易。最好的办法是验证服务器端的所有数据,如果你正确地做到了,它的来源应该无关紧要。 –
大声笑好吧一次性密钥和会话哈希无处不在..但为什么-1? XD –