DESTOON防主機可采用隱藏變量和防御遠(yuǎn)程表單提交
1.隱藏變量
代碼如下:
復(fù)制代碼
<?php
if ($_POST['submit'] == “go”){
//strip_tags
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echo $_SERVER['PHP_SELF'];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<input type=”hidden” name=”table” value=”users”/>
<input type=”hidden” name=”action” value=”create”/>
<input type=”hidden” name=”status” value=”live\”/>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
注意,隱藏變量之一暴露了表名:users。還會看到一個值為 create 的 action 字段。只要有基本的 SQL 經(jīng)驗,就能夠看出這些命令可能控制著中間件中的一個 SQL 引擎。想搞大破壞的人只需改變表名或提供另一個選項,比如 delete。
現(xiàn)在還剩下什么問題呢?遠(yuǎn)程表單提交。
遠(yuǎn)程表單提交
Web 的好處是可以分享信息和服務(wù)。壞處也是可以分享信息和服務(wù),因為有些人做事毫無顧忌。
以 表單為例。任何人都能夠訪問一個 Web 站點,并使用瀏覽器上的 File > Save As 建立表單的本地副本。然后,他可以修改 action 參數(shù)來指向一個完全限定的 URL(不指向 formHandler.php,而是指向 http://www.yoursite.com/formHandler.php,因為表單在這個站點上),做他希望的任何修改,點擊 Submit,服務(wù)器會把這個表單數(shù)據(jù)作為合法通信流接收。
首先可能考慮檢查 $_SERVER['HTTP_REFERER'],從而判斷請求是否來自自己的服務(wù)器,這種方法可以擋住大多數(shù)惡意用戶,但是擋不住最高明的黑客。這些人足夠聰明,能夠篡改頭部中的引用者信息,使表單的遠(yuǎn)程副本看起來像是從您的服務(wù)器提交的。
處理遠(yuǎn)程表單提交更好的方式是,根據(jù)一個惟一的字符串或時間戳生成一個令牌,并將這個令牌放在會話變量和表單中。提交表單之后,檢查兩個令牌是否匹配。如果不匹配,就知道有人試圖從表單的遠(yuǎn)程副本發(fā)送數(shù)據(jù)。
要創(chuàng)建隨機的令牌,可以使用 PHP 內(nèi)置的 md5()、uniqid() 和 rand() 函數(shù),如下所示:
2. 防御遠(yuǎn)程表單提交
代碼如下:
<?php
session_start();
if ($_POST['submit'] == “go”){
//check token
if ($_POST['token'] == $_SESSION['token']){
//strip_tags
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}else{
//stop all processing! remote form posting attempt!
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echo $_SERVER['PHP_SELF'];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<input type=”hidden” name=”token” value=”<?php echo $token;?>”/>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
這種技術(shù)是有效的,這是因為在 PHP 中會話數(shù)據(jù)無法在服務(wù)器之間遷移。即使有人獲得了您的 PHP 源代碼,將它轉(zhuǎn)移到自己的服務(wù)器上,并向您的服務(wù)器提交信息,您的服務(wù)器接收的也只是空的或畸形的會話令牌和原來提供的表單令牌。它們不匹配,遠(yuǎn)程表單提交就失敗了。
1.隱藏變量
代碼如下:
復(fù)制代碼
<?php
if ($_POST['submit'] == “go”){
//strip_tags
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echo $_SERVER['PHP_SELF'];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<input type=”hidden” name=”table” value=”users”/>
<input type=”hidden” name=”action” value=”create”/>
<input type=”hidden” name=”status” value=”live\”/>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
注意,隱藏變量之一暴露了表名:users。還會看到一個值為 create 的 action 字段。只要有基本的 SQL 經(jīng)驗,就能夠看出這些命令可能控制著中間件中的一個 SQL 引擎。想搞大破壞的人只需改變表名或提供另一個選項,比如 delete。
現(xiàn)在還剩下什么問題呢?遠(yuǎn)程表單提交。
遠(yuǎn)程表單提交
Web 的好處是可以分享信息和服務(wù)。壞處也是可以分享信息和服務(wù),因為有些人做事毫無顧忌。
以 表單為例。任何人都能夠訪問一個 Web 站點,并使用瀏覽器上的 File > Save As 建立表單的本地副本。然后,他可以修改 action 參數(shù)來指向一個完全限定的 URL(不指向 formHandler.php,而是指向 http://www.yoursite.com/formHandler.php,因為表單在這個站點上),做他希望的任何修改,點擊 Submit,服務(wù)器會把這個表單數(shù)據(jù)作為合法通信流接收。
首先可能考慮檢查 $_SERVER['HTTP_REFERER'],從而判斷請求是否來自自己的服務(wù)器,這種方法可以擋住大多數(shù)惡意用戶,但是擋不住最高明的黑客。這些人足夠聰明,能夠篡改頭部中的引用者信息,使表單的遠(yuǎn)程副本看起來像是從您的服務(wù)器提交的。
處理遠(yuǎn)程表單提交更好的方式是,根據(jù)一個惟一的字符串或時間戳生成一個令牌,并將這個令牌放在會話變量和表單中。提交表單之后,檢查兩個令牌是否匹配。如果不匹配,就知道有人試圖從表單的遠(yuǎn)程副本發(fā)送數(shù)據(jù)。
要創(chuàng)建隨機的令牌,可以使用 PHP 內(nèi)置的 md5()、uniqid() 和 rand() 函數(shù),如下所示:
2. 防御遠(yuǎn)程表單提交
代碼如下:
<?php
session_start();
if ($_POST['submit'] == “go”){
//check token
if ($_POST['token'] == $_SESSION['token']){
//strip_tags
$name = strip_tags($_POST['name']);
$name = substr($name,0,40);
//clean out any potential hexadecimal characters
$name = cleanHex($name);
//continue processing….
}else{
//stop all processing! remote form posting attempt!
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token']= $token;
function cleanHex($input){
$clean = preg_replace(”![\][xX]([A-Fa-f0-9]{1,3})!”, “”,$input);
return $clean;
}
?>
<form action=”<?php echo $_SERVER['PHP_SELF'];?>” method=”post”>
<p><label for=”name”>Name</label>
<input type=”text” name=”name” id=”name” size=”20″ maxlength=”40″/></p>
<input type=”hidden” name=”token” value=”<?php echo $token;?>”/>
<p><input type=”submit” name=”submit” value=”go”/></p>
</form>
這種技術(shù)是有效的,這是因為在 PHP 中會話數(shù)據(jù)無法在服務(wù)器之間遷移。即使有人獲得了您的 PHP 源代碼,將它轉(zhuǎn)移到自己的服務(wù)器上,并向您的服務(wù)器提交信息,您的服務(wù)器接收的也只是空的或畸形的會話令牌和原來提供的表單令牌。它們不匹配,遠(yuǎn)程表單提交就失敗了。
樂發(fā)網(wǎng)超市批發(fā)網(wǎng)提供超市貨源信息,超市采購進貨渠道。超市進貨網(wǎng)提供成都食品批發(fā),日用百貨批發(fā)信息、微信淘寶網(wǎng)店超市采購信息和超市加盟信息.打造國內(nèi)超市采購商與批發(fā)市場供應(yīng)廠商搭建網(wǎng)上批發(fā)市場平臺,是全國批發(fā)市場行業(yè)中電子商務(wù)權(quán)威性網(wǎng)站。
本文內(nèi)容整合網(wǎng)站:百度百科、知乎、淘寶平臺規(guī)則
