欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

php通過(guò)session防url攻擊方法

 更新時(shí)間:2014年12月10日 12:16:44   投稿:shichen2014  
這篇文章主要介紹了php通過(guò)session防url攻擊方法,可通過(guò)session獲取用戶名再傳入U(xiǎn)RL來(lái)防止URL攻擊,是非常實(shí)用的技巧,需要的朋友可以參考下

本文實(shí)例講述了php通過(guò)session防url攻擊方法。分享給大家供大家參考。具體實(shí)現(xiàn)方法如下:

通過(guò)session跟蹤,可以很方便地避免url攻擊的發(fā)生,php采用session防url攻擊方法代碼如下:

復(fù)制代碼 代碼如下:
<?php
session_start(); 
$clean = array(); 
$email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i'; 
if (preg_match($email_pattern, $_POST['email'])) 
{
$clean['email'] = $_POST['email']; 
$user = $_SESSION['user']; 
$new_password = md5(uniqid(rand(), TRUE)); 
if ($_SESSION['verified']) 

/* Update Password */ 
mail($clean['email'], 'Your New Password', $new_password); 


?>

使用時(shí)URL可設(shè)置如下:
http://example.org/reset.php?user=php&email=chris%40example.org

如果reset.php信任了用戶提供的這些信息,這就是一個(gè)語(yǔ)義URL 攻擊漏洞,在此情況下,系統(tǒng)將會(huì)為php 帳號(hào)產(chǎn)生一個(gè)新密碼并發(fā)送至chris@example.org,這樣chris 成功地竊取了php 帳號(hào).

希望本文所述對(duì)大家的PHP程序設(shè)計(jì)有所幫助。

相關(guān)文章

最新評(píng)論