我目前正在编写一个使用表单和 PHP $_POST 数据的 Web 应用程序(到目前为止是标准的!:))。但是,(这可能是一个菜鸟查询)我刚刚意识到,从理论上讲,如果有人将 HTML 文件与假表单放在一起,请将操作作为我网站上使用的脚本之一并用他们自己的随机数据填充此表单,然后他们不能将此数据提交到表单中并导致问题吗?
我清理数据等,所以我(不太)担心 XSS 或注入(inject)式攻击,我只是不希望有人能够,例如,将无意义的东西添加到购物车等。
现在,我意识到对于一些脚本我可以写保护,例如只允许可以在数据库中找到的东西进入购物车,但在某些情况下可能无法预测所有情况。
所以,我的问题是 - 是否有一种可靠的方法来确保我的 php 脚本只能由我网站上托管的表单调用?也许某些 Http Referrer 会自己检查脚本,但我听说这可能不可靠,或者可能是某些 htaccess 巫术?这似乎是一个太大的安全漏洞(尤其是对于客户评论或任何客户输入之类的东西),不能让它保持开放状态。任何想法将不胜感激。 :) 再次感谢!
最佳答案
http://en.wikipedia.org/wiki/Cross-site_request_forgery
http://www.codewalkers.com/c/a/Miscellaneous/Stopping-CSRF-Attacks-in-Your-PHP-Applications/
关于PHP $_POST & 拒绝伪造表单安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5416425/