php通過(guò)session防url攻擊方法
本文實(shí)例講述了php通過(guò)session防url攻擊方法。分享給大家供大家參考。具體實(shí)現(xiàn)方法如下:
通過(guò)session跟蹤,可以很方便地避免url攻擊的發(fā)生,php采用session防url攻擊方法代碼如下:
session_start();
$clean = array();
$email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';
if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
$user = $_SESSION['user'];
$new_password = md5(uniqid(rand(), TRUE));
if ($_SESSION['verified'])
{
/* Update Password */
mail($clean['email'], 'Your New Password', $new_password);
}
}
?>
使用時(shí)URL可設(shè)置如下:
http://example.org/reset.php?user=php&email=chris%40example.org
如果reset.php信任了用戶提供的這些信息,這就是一個(gè)語(yǔ)義URL 攻擊漏洞,在此情況下,系統(tǒng)將會(huì)為php 帳號(hào)產(chǎn)生一個(gè)新密碼并發(fā)送至chris@example.org,這樣chris 成功地竊取了php 帳號(hào).
希望本文所述對(duì)大家的PHP程序設(shè)計(jì)有所幫助。
相關(guān)文章
使用PHPStorm+XDebug搭建單步調(diào)試環(huán)境
由于 PhpStorm 不像 Zend 公司為 Zend Studio 那樣配套集成了很多開發(fā)部件,包括解釋器、調(diào)試器、虛擬機(jī)、服務(wù)器、開發(fā)框架等等。因此,配置 PhpStorm 開發(fā)環(huán)境相對(duì)較繁瑣,有很多需要注意的地方。2017-11-11PHP和Shell實(shí)現(xiàn)檢查SAMBA與NFS Server是否存在
這篇文章主要介紹了PHP和Shell實(shí)現(xiàn)檢查SAMBA與NFS Server是否存在,本文分別給出了PHP檢查腳本和Shell檢查腳本,需要的朋友可以參考下2015-01-01php專用數(shù)組排序類ArraySortUtil用法實(shí)例
這篇文章主要介紹了php專用數(shù)組排序類ArraySortUtil用法,實(shí)例分析了ArraySortUtil實(shí)現(xiàn)數(shù)組排序的方法與對(duì)應(yīng)使用技巧,需要的朋友可以參考下2015-04-04PHP流Streams、包裝器wrapper概念與用法實(shí)例詳解
這篇文章主要介紹了PHP流Streams、包裝器wrapper概念與用法,結(jié)合實(shí)例形式分析了php中流Streams與包裝器wrapper的基本概念及使用方法,需要的朋友可以參考下2017-11-11實(shí)例講解通過(guò)PHP創(chuàng)建數(shù)據(jù)庫(kù)
在本篇文章里小編給大家分享了關(guān)于如何通過(guò)​PHP創(chuàng)建數(shù)據(jù)庫(kù)的知識(shí)點(diǎn)內(nèi)容,有需要的朋友們學(xué)習(xí)下。2019-01-01php+jQuery實(shí)現(xiàn)的三級(jí)導(dǎo)航欄下拉菜單顯示效果
這篇文章主要介紹了php+jQuery實(shí)現(xiàn)的三級(jí)導(dǎo)航欄下拉菜單顯示效果,涉及php數(shù)組遍歷與jQuery事件響應(yīng)操作頁(yè)面元素變換等相關(guān)操作技巧,需要的朋友可以參考下2017-08-08