您好所有,PHP後端/前端安全
同時利用我的時間在洗澡時我雖然的一些有趣的事情。在PHP中,你怎麼知道,如果提交用戶的形式是有效的,而不是欺詐(即一些其他形式的其他網站用行動=‘http://mysite.com/sendData.php’)?因爲真的,任何人都可以創建一個表單,嘗試在真正的後端發送和匹配$ _POST變量。我怎樣才能確保是腳本是合法的(從我的網站,只有我的網站),所以我沒有某種形式的克隆站點數據竊取的事情怎麼回事?
我有一些想法,但不知道從哪裏開始
- 生成隱藏的輸入字段
- 嘗試(但可能)一次性密鑰和商店搶了表單所在的URL (大概是不可能的)
- 使用了一些非常複雜的PHP好吃的東西來確定數據發送(可能)
任何想法?謝謝大家!
隨機一次性密鑰是要走的路。不要試圖檢查請求來自哪裏,即使有些方法可以很容易地被欺騙。 – Mahn
這是有據可查的,一個簡單的Google搜索將爲您提供大量有關該主題的信息。即使您知道數據來自哪裏,編輯頁面的HTML也非常容易。最好的辦法是驗證服務器端的所有數據,如果你正確地做到了,它的來源應該無關緊要。 –
大聲笑好吧一次性密鑰和會話哈希無處不在..但爲什麼-1? XD –