在我知道如何保护上传图片之后Bypassing forms input fields to upload unwanted files我想再举一个例子,其中有 2 个字段,其中一个是隐藏的。
SQL 表 (id,name,jod,number)
CREATE TABLE `users` (
`id` bigint(20) unsigned NOT NULL auto_increment,
`name` varchar(255) default '0',
`job` varchar(255) default NULL,
`number` varchar(255) default NULL
) ENGINE=MyISAM DEFAULT CHARSET=utf8;
表单代码(支持成员(member)自行编辑信息)
<form action="send.php" method="post" name="send" id="send">
<input type="text" name="name" id="name" value="John"/>
<input type="text" name="job" id="job" value="Plumber"/>
<input type=hidden name="number" id="number" value="1234"/>
<input type="Submit" name="Submit" value="Submit"/>
</form>
后来有一个 firefox 扩展可以绕过服务器端的不同输入绕过检查并可能造成很多损坏所以这里它可以停止整个过程并使您能够编辑隐藏表的值 number
到任何诸如 value="1"
导致成员的更新信息具有 value number 1
。
该扩展的工作原理如下,它可以在将输入数据传递到服务器端之前伪造输入数据。
PHP代码Send.php
if(isset($_POST['send'])){
$name = mysql_real_escape_string($_POST[name]);
$job = mysql_real_escape_string($_POST[job]);
$number = mysql_real_escape_string($_POST[number]);
$sql= "update users SET name='$name',job='$job' WHERE number='$number'";
mysql_query($sql) or die("query failed: $sql".mysql_error());
echo "Update Done";
} else {
echo "Nothing to update";
}
问题 那么如何保护这种简单的形式免受这种输入形式的影响呢? ~ 谢谢
这个问题真的很痛苦,因为它让我的网站可以自由地被黑客攻击:)
最佳答案
如果用户授权不是您的原因,您可以尝试以下技术:
- 将隐藏字段设置为带有一些其他信息的数字哈希值
- 用加密的数字设置隐藏字段(可能的盐也可以增加这里的安全性)
当然,它会在发送表单 HTML 和验证帖子信息时添加额外的步骤,但至少攻击者在帖子上伪造有效号码会困难得多。尽管如果攻击者知道不同用户的加密/散列编号,除非明智地使用隐藏字段中的加盐信息,否则它不会拯救你。
关于php - 带有隐藏字段的输入表单如何保护它,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14662313/