我有一个使用 $_POST 变量存储到数据库的脚本。
有些用户试图通过制作自己的帖子表单方法或使用 curl 将帖子变量和值发送到服务器来欺骗系统。
如何防止这种攻击?
谢谢
最佳答案
预防是不可能的(POST 是安全的是一个过于简单化的神话)。您必须使用各种方法验证传入的数据:
- CSRF token 有助于防止任意表单提交机器人(但不能防止手工篡改)
- 枚举预期的表单值,断言()所有内容都存在并且没有出现无关的字段
- 根据预期值进行清理和过滤。例如,我使用
$_POST->text->in_array("field", "abc,def,xyz")
关于php - 如何防止 POST 方法被黑客攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4883286/