php 防跨站攻击测试例子(供学习使用)

代码是最好的语言。。

 代码如下 复制代码

<?php
#demo for prevent csrf

/**
* enc
*/
function encrypt($token_time) {
return md5(‘!@##$@$$#%43′ . $token_time);
}

$token_time = time();
$token = encrypt($token_time);
$expire_time = 10;

if ($_POST) {
$_token_time = $_POST['token_time'];
$_token = $_POST['token'];

if ((time() – $_token_time) > $expire_time) {
echo “expired token”;
echo “<br />”;
}

echo $_token;
echo “<br />”;
$_token_real = encrypt($_token_time);

echo $_token_real;
//compare $_token and $_token_real
}
?>

<!DOCTYPE html>
<html>
<head>
<meta http-equiv=”content-type” content=”text/html; charset=utf-8″ />
<title>test for csrf</title>
<meta http-equiv=”" content=”" />
</head>
<body>
<form method=”post” action=”">
<input type=”text” name=”text” id=”" value=”hello” />
<input type=”hidden” name=”token” id=”" value=”<?php echo $token ?>” />
<input type=”hidden” name=”token_time” id=”" value=”<?php echo $token_time ?>” />

<input type=”submit” name=”submit” id=”" value=”submit” />

</form>
</body>
</html>

 
通过在你的表单中包括验证码,你事实上已经消除了跨站请求伪造攻击的风险。可以在任何需要执行操作的任何表单中使用这个流程

当然,将token 存储到session更好,这儿只是简单示例下

简单分析:

token防攻击也叫作(令牌)了,我们在用户访问页面时就生成了一个随机的token保存session与表单了,用户提交时如果我们获取到的token与session不一样就可以提交重新输入提交数据了

时间: 2024-09-24 18:54:37

php 防跨站攻击测试例子(供学习使用)的相关文章

Laravel 5 中防止 XSS 跨站攻击的例子

1.安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/.Purifier 是在 Laravel 5 中集成 HTMLPurifier 的扩展包,我们可以通过 Composer 来安装这个扩展包: composer require mews/purifier 安装完成后,在配置文件config/app.php的provide

php跨站攻击实例分析_php技巧

本文实例讲述了php跨站攻击的原理与防范技巧.分享给大家供大家参考.具体方法分析如下: 跨站攻击就是利用程序上的一些细节或bug问题进行的,那么我们要如何耿防止跨站攻击呢?下面就以一个防止跨站攻击例子来说明,希望对各位有帮助. 复制代码 代码如下: <?php #demo for prevent csrf /** * enc */ function encrypt($token_time) { return md5('!@##$@$$#%43' . $token_time); } $token_

PHP和XSS跨站攻击

攻击 其实这个话题很早就想说说了发现国内不少PHP站点都有XSS漏洞.今天偶然看到PHP5的一个XSS漏洞在此小结一下.顺便提醒使用PHP5的朋友最好打下补丁或者升级一下. 如果你不懂什么是XSS可以看这里或者这里中文的也许会好懂一些. 国内不少论坛都存在跨站脚本漏洞例如这里  有一个Google Hack+XSS的攻击例子针对的是Discuz 4.0.0RC3.国外也很多这样的例子甚至Google也出现过不过在12月初时修正了.跨站攻击很容易就可以构造而且非常隐蔽不易被查觉通常盗取信息后马上跳

PHP和XSS跨站攻击的防范_php技巧

其实这个话题很早就想说说了发现国内不少PHP站点都有XSS漏洞.今天偶然看到PHP5的一个XSS漏洞在此小结一下.顺便提醒使用PHP5的朋友最好打下补丁或者升级一下. 如果你不懂什么是XSS可以看这里或者这里中文的也许会好懂一些. 国内不少论坛都存在跨站脚本漏洞例如这里  有一个Google Hack+XSS的攻击例子针对的是Discuz 4.0.0RC3.国外也很多这样的例子甚至Google也出现过不过在12月初时修正了.跨站攻击很容易就可以构造而且非常隐蔽不易被查觉通常盗取信息后马上跳转回原

XSS跨站攻击

目录 1 XSS跨站攻击简介 1 1.1 什么是XSS 1 1.2 XSS的分类 1 1.3 XSS的危害 1 2 XSS的攻击原理 1 2.1 本地式漏洞攻击 1 2.2 存储式漏洞攻击 2 2.3 反射式漏洞攻击 2 3 XSS的防御策略 3 3.1 过滤特殊字符或敏感字段 3 3.2 对敏感数据进行加密  4 1 XSS跨站攻击简介 1.1 什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击.它指的是恶意攻击者往Web页面里插入恶意脚本代码,当用户浏览该

BBSXP5.15跨站攻击漏洞_漏洞研究

前言:在新云网站管理系统1.02出来的时候,他的留言本就存在跨站漏洞,我测试了黑客动画吧,还好没有开放留言本功能,然后又测试了黑软基地 居然可以成功利用,和新云官方网站都成功拿倒了管理元的cookies.  想不到吧. 看来跨站不得不防范啊!  BBSXP的漏洞近段时间闹得可火.现有的漏洞大家都见过了,就不说了.今晚无聊,看了看BBSXP 5.15最新版的几个文件代码,发现还是存在跨站攻击的漏洞.  Cookies.asp文件,代码如下:   对提交的 "no" 参数没做处理.再看se

ThinkPHP2.x防范XSS跨站攻击的方法_php实例

本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法.分享给大家供大家参考.具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下. 原理是通过URL传入script标签,ThinkPHP异常错误页面直接输出了script. 原理: http://ask.lenovo.com.cn/index.php?s=1%3Cbody+onload=alert(1)%3E 其中m的值是一个不存在的module,同时是一个完全的script,

Laravel5中防止XSS跨站攻击的方法_php实例

本文实例讲述了Laravel5中防止XSS跨站攻击的方法.分享给大家供大家参考,具体如下: Laravel 5本身没有这个能力来防止xss跨站攻击了,但是这它可以使用Purifier 扩展包集成 HTMLPurifier 防止 XSS 跨站攻击. 1.安装 HTMLPurifier 是基于 PHP 编写的富文本 HTML 过滤器,通常我们可以使用它来防止 XSS 跨站攻击,更多关于 HTMLPurifier的详情请参考其官网:http://htmlpurifier.org/.Purifier 是

LNMP下防跨站、跨目录安全设置,仅支持PHP 5.3.3以上版本

如果你是PHP 5.3.3以上的版本,可以修改/usr/local/php/etc/php.ini在末尾里加入:  代码如下 复制代码 [HOST=www.vpser.net] open_basedir=/home/wwwroot/www.vpser.net/:/tmp/ [PATH=/home/wwwroot/www.vpser.net] open_basedir=/home/wwwroot/www.vpser.net/:/tmp/ 按上面的这个例子修改,换成你自己的域名和目录,多个网站就按上