PHP 表单添加隐藏 Token 阻止外部提交

Token 法:通过一个隐藏可变的 Token 加大攻击的难度,每次提交都需要和服务器校对,如果不通过,则为外部提交(也可以通过 session + 隐藏域来验证)。

代码:

form.php

 1 <!DOCTYPE html>
 2 <html lang="en">
 3 <head>
 4     <meta charset="UTF-8">
 5     <title>Document</title>
 6 </head>
 7 <body>
 8     <?php 
 9         define('SECRET', "67%$#ap28");
10         function m_token() {
11             $str = mt_rand(1000, 9999);
12             $str2 = dechex($_SERVER['REQUEST_TIME'] - $str);
13             return $str.substr(md5($str.SECRET), 0, 10).$str2;
14         }
15     ?>
16     <form action="dopost.php" method="post">
17         name:<input type="text" name="name" id="">
18         <input type="hidden" name="token" value="<?php echo m_token();?>">
19         <input type="submit" value="提交">
20     </form>
21 </body>
22 </html>

 

dopost.php

<?php
define('SECRET', "67%$#ap28");

function v_token($str, $delay = 2) {
    $rs = substr($str, 0, 4);
    $middle = substr($str, 0, 14);
    $rs2 = substr($str, 14, 8);
    return ($middle == $rs.substr(md5($rs.SECRET), 0, 10)) 
            && ($_SERVER['REQUEST_TIME'] - hexdec($rs2) - $rs <= $delay);
}
var_dump(v_token($_POST['token']));

其中 $delay 表示时间延迟,在不同的程序根据根据业务来自行修改

 

输出:

boolean true

 

posted @ 2015-10-25 22:02  nemo20  阅读(728)  评论(0编辑  收藏  举报
访客数:AmazingCounters.com
2016/05/17 起统计