我知道如何确保上传图片Bypassing forms input fields to upload unwanted files我想给出另一个来自2个字段的例子,其中一个隐藏。隐藏字段输入表格如何保护它
SQL表(ID,姓名,约旦第纳尔,数量)
CREATE TABLE `users` (
`id` bigint(20) unsigned NOT NULL auto_increment,
`name` varchar(255) default '0',
`job` varchar(255) default NULL,
`number` varchar(255) default NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
表单代码(支撑构件可以编辑自己的信息)
<form action="send.php" method="post" name="send" id="send">
<input type="text" name="name" id="name" value="John"/>
<input type="text" name="job" id="job" value="Plumber"/>
<input type=hidden name="number" id="number" value="1234"/>
<input type="Submit" name="Submit" value="Submit"/>
</form>
后来有一个Firefox扩展,可以绕过不同的输入到服务器端的旁路检查,并可能会造成很大的损害,所以在这里它可以停止整个过程并使您能够编辑隐藏表的值number
到任何如value="1"
导致成员更新信息有value number 1
。
该扩展工作如下,它可以伪造输入数据之前,它传递到服务器端。
PHP代码Send.php
if(isset($_POST['send'])){
$name = mysql_real_escape_string($_POST[name]);
$job = mysql_real_escape_string($_POST[job]);
$number = mysql_real_escape_string($_POST[number]);
$sql= "update users SET name='$name',job='$job' WHERE number='$number'";
mysql_query($sql) or die("query failed: $sql".mysql_error());
echo "Update Done";
} else {
echo "Nothing to update";
}
问题 那么,如何保护这样的输入形式这种简单的形式? 〜感谢
这个问题真的好痛因为它使我的网站上免费给砍死:)
而不是绑定他们的数字,使用一个UNIQUE ID,如PHP的SESSION ID? – hjpotter92
您正在使用[an **过时的**数据库API](http://stackoverflow.com/q/12859942/19068)并应使用[现代替换](http://php.net/manual/en/ mysqlinfo.api.choosing.php)。 – Quentin