Поскольку можно заархивировать PHP-почту с перекрестными доменами, я считаю, что это означает, что кто-то, кто получил доступ к моему исходному коду, мог создать свой собственный домен и опубликовать любые значения. Есть ли способ отключить проводку перекрестных доменов или мне нужно проверить все значения в сообщении, чтобы убедиться, что они действительны?Уязвимость в PHP post?
ответ
Это не имеет никакого отношения к другому домену; Любой клиент в любом месте может отправлять любые значения, которые ваш сервер будет принимать. Вот почему одно из основных правил в Интернете никогда не является доверенным пользовательским данным: всегда проверяйте его на стороне сервера. \
Вот некоторые достойные чтения по теме:
Лучше создать случайный хэш, как: md5(time().rand(1000,9999))
и,
- Положите его в скрытом входное значение похоже:
<input name='token' type='hidden' value='<?php echo $hash ?>' />
- И комплект
$_SESSION['token'] = $hash
;
И каждый раз, когда вы обрабатываете форму, проверить это нравится:
if($_SESSION['token'] !== $_POST['token']) die('invalid request');
Таким образом, только те пользователи, которые представили форму из вашего домена будет успешным, подающие.
Хотя это может затруднить выполнение массовых спамовых подачек, это не мешает мне принимать данные на моем удаленном сервере (или генерировать его), а затем cURL запрашивает вашу форму, принимает куки и подает вам ваш токен обратно вы с моими данными. –
- 1. Уязвимость Ajax post request
- 2. Уязвимость уязвимости PHP-формы?
- 3. как использовать уязвимость php?
- 4. Уязвимость XSS в PHP-скриптах
- 5. Медленная уязвимость HTTP POST на azure
- 6. Уязвимость для инъекций php cookie?
- 7. чувствительная раковина как уязвимость php?
- 8. Где уязвимость в этом php-коде?
- 9. Какова уязвимость в моем PHP-коде?
- 10. Уязвимость JavaScript-сайта
- 11. Уязвимость XSS в java
- 12. уязвимость glibc fnmatch: как выявить уязвимость?
- 13. Как предотвратить уязвимость PHP-кода на сайте
- 14. PHP | Поиск пользователя и уязвимость для атак
- 15. Уязвимость кода
- 16. Уязвимость Libpng
- 17. wordpress timthumb.php Уязвимость
- 18. Уязвимость в обслуживании Android?
- 19. Уязвимость в Apache Cordova
- 20. Xss Уязвимость
- 21. Уязвимость с ошибкой MySQL
- 22. ReadFile уязвимость как избежать
- 23. Уязвимость в ядре в ядре?
- 24. Как избежать «Возможная уязвимость управления потоком» в php?
- 25. Уязвимость в заголовке заголовка web2py
- 26. Уязвимость отсутствует в WSO2 DSS
- 27. Возможная уязвимость в ProFTP 1.3.3e
- 28. Уязвимость XSS в p: panel?
- 29. Уязвимость в роли автора Wordpress
- 30. Уязвимость пуделя в Centos 5
Вы всегда должны проверять пользовательские входы, это не имеет ничего общего с кросс-доменом. Запросы POST даже не должны поступать с веб-страницы, их можно сделать с помощью 'curl'. – Barmar
Пользователи - самые злые, безумные вещи в Интернете. Укрепите свой код настолько, насколько сможете. – Mave
Это должно быть указано как «** Never ** trust user input» ;-) –