php安全开发 添加随机字符串验证，防止伪造跨站请求

            yahoo对付伪造跨站请求的办法是在表单里加入一个叫.crumb的随机串；而facebook也有类似的解决办法，它的表单里常常会有post_form_id和fb_dtsg。
比较常见而且也很廉价的防范手段是在所有可能涉及用户写操作的表单中加入一个随机且变换频繁的字符串，然后在处理表单的时候对这个字符串进行检查。这个随机字符串如果和当前用户身份相关联的话，那么攻击者伪造请求会比较麻烦。现在防范方法基本上都是基于这种方法的了
随机串代码实现
咱们按照这个思路，山寨一个crumb的实现，代码如下：
[U]复制代码[/U] 代码如下:
代码中的$uid表示用户唯一标识，而$ttl表示这个随机串的有效时间。
应用示例
构造表单
在表单中插入一个隐藏的随机串crumb
[U]复制代码[/U] 代码如下:
   
">   
   
   
   
处理表单 demo.php
对crumb进行检查
[U]复制代码[/U] 代码如下:
本文出自包子博客
            
            
您可能感兴趣的文章:

PHP和XSS跨站攻击的防范

解析PHP跨站刷票的实现代码

php跨站攻击实例分析

ThinkPHP2.x防范XSS跨站攻击的方法

PHP实现表单提交数据的验证处理功能【防SQL注入和XSS攻击等】

整理php防注入和XSS攻击通用过滤

xss防御之php利用httponly防xss攻击

php过滤XSS攻击的函数

细谈php中SQL注入攻击与XSS攻击

PHP中防止SQL注入攻击和XSS攻击的两个简单方法

PHP实现的防止跨站和xss攻击代码【来自阿里云】