1、目的:每次表单POST提交(ajax的POST也适用)过来数据,都必须校验formhash参数是否和服务器端的一致,不一致说明重复提交或者 跨站攻击提交csrf

2、原理:参照了 KPPW 的formhash生成和校验示例。将formhash的生成写入基类构造函数,每次登陆用户操作数据,都生成hash并进行比较。

(用户未登录状态,也可以校验formhash,可以让你的网站免于 遭受  无状态脚本提交数据 攻击)

3、formHash的生成代码:注意 这里的formhash一般都是每个用户均不相同,且每个用户的formhash值在几个月以内都是不会变更的。

<?php

/*

 * 再次封装的BaseController基类 --by xzz 2018/02/07

 * 包括:表单formhash校验原理如下:

 * 将formhash放在构造函数里,GET访问页面生成formhash并渲染在页面,用户提交表单,POST经过构造函数再一次生成一样的formhash

 */

namespace Admin\Controller;

user Think\Controller;

class BaseController extends Controller {

    public function __construct(){

        parent::__construct();

        define("FORMHASH", self::formhash());

        @session_start();

    }

    /* 生成表单随机码,防止XSS攻击,无需同步存储于内存缓存(redis/Mencached)中

     * 返回6位随机码

     */

    static function formhash() {

        $uid = null;

        $username = null;

        if (isset ( $_SESSION ['uid'] )) {

            $uid = $_SESSION ['uid'];

        }

        if (isset ( $_SESSION ['username'] )) {

            $username = $_SESSION ['username'];

        }

        return substr ( md5 ( substr ( time (), 0, - 7 ) . $uid . $username ), - 6 );

    }

    /*

     * formhash校验,传过来的formhash和提交动作再次生成的FORMHASH变量一致,校验通过;否则重复提交

     */

    static function submitcheck($formhash, $return_json = false) {if (! empty ( $formhash ) && $_SERVER ['REQUEST_METHOD'] == 'POST') {

            if ((empty ( $_SERVER ['HTTP_REFERER'] ) || preg_replace ( "/https?:\/\/([^\:\/]+).*/i", "\\1", $_SERVER ['HTTP_REFERER'] ) == preg_replace ( "/([^\:]+).*/", "\\1", $_SERVER ['HTTP_HOST'] )) && $formhash == FORMHASH) {

                return true;

            } elseif ($return_json == true) {

                return false;

            }

        } else {

            return false;

        }

    }

    /* 发送邮件类 -xzz 2018/02/06 */

    public function add2(){
    //校验用户是否登录
    // do user is login ?

        header("content-type:text/html;charset=utf-8");

        if(IS_POST){

            var_dump($_POST);

            if(self::submitcheck(trim($_POST['formhash']))){

                if(SendMail($_POST['mail'],$_POST['title'],$_POST['content']))

                    $this->success('发送成功!');

                else

                    $this->error('发送失败');

            }else{

                exit("formhash错误");

            }

        }elseif(IS_GET){

            $this->assign("FORMHASH",FORMHASH);$this->display();

        }

    }

}

4、代码解读:

a. 假设 我们访问上面 add2 页面,首先 输出变量$FORMHASH 并展示在页面隐藏域;

b. post方式提交后,校验登录态->校验formhash->do what u want to do ..

c. 第二步,校验formhash:提交的formhash 和 再次生成formhash比较,还看不懂 请再尝试看5遍这个方法 【submitcheck()】

5、结束。

【PHP】(原创)之表单FORM的formhash校验,以TP3.2示例的更多相关文章

  1. HTML ------ 关于表单 Form

    Form(表单)主要用于采集和提交用户输入的信息,是页面与WEB服务器交互过程中 最重要的信息来源. 掌握表单(Form)有以下几个要点: 重要form属性 form常用控件 form提交方式 § 重 ...

  2. Bootstrap~表单Form

    回到目录 在进行自己的后台改版时,大体布局都使用了bootstrap,剩下的表单部分没理由不去使用它,对于表单的美化和布局,bootstrap做的也是很不错的,有大气的边框,多功能的按钮及宏观的表单布 ...

  3. 表单 - Form - EasyUI提供的表单异步提交

    方案一 被提交的表单 <form id="loginForm" method="post"> <table align="cente ...

  4. 跟服务器交互的Web表单(form)

    使用HTML来构建可以跟服务器交互的Web表单(form),通过给你的form元素添加一个action属性来达到此目的. action属性的值指定了表单提交到服务器的地址. 例如: <form ...

  5. 3、网页制作Dreamweaver(表单form)

    表单form (虚线不显示) 1.写法: <form id="form1" name="form1" method="post" ac ...

  6. DHTMLX 前端框架 建立你的一个应用程序 教程(九)--绑定表单Form到表格Grrid中

    绑定表单Form到表格Grrid中 现在我们需要选中一行表格数据的时候 数据能在表单中显示出来 我们可以使用DHTMLX 丰富的组件功能实现它. 绑定表单到表格 1.调用bind方法将表单绑定到网格, ...

  7. DHTMLX 前端框架 建立你的一个应用程序 教程(八)-- 添加表单Form

    添加表单Form 我们下一步是在页面中添加一个表单,表格中的选中字段将会显示在表单中.提供一个提交按钮 可以对显示的数据进行修改提交. 添加表单到布局单元格中 1.在右侧布局中使用attachForm ...

  8. 微信小程序基础之表单Form的使用

    表单Form的应用很广泛,我们可以利用form设计登录注册,也可以设计一种答题问卷的形式,今天主要讲一下form的使用 form表单,将组件内输入的"switch","i ...

  9. HTML(七)HTML 表单(form元素介绍,input元素的常用type类型,input元素的常用属性)

    前言 表单是网页与用户的交互工具,由一个<form>元素作为容器构成,封装其他任何数量的表单控件,还有其他任何<body>元素里可用的标签 表单能够包含<input> ...

随机推荐

  1. 【BZOJ 2802】 2802: [Poi2012]Warehouse Store (贪心)

    2802: [Poi2012]Warehouse Store Description 有一家专卖一种商品的店,考虑连续的n天.第i天上午会进货Ai件商品,中午的时候会有顾客需要购买Bi件商品,可以选择 ...

  2. JZYZOJ 1385 拉灯游戏 状态压缩 搜索

    http://172.20.6.3/Problem_Show.asp?id=1385   刚开始想的时候一直以为同一排不同的拉灯顺序对结果是有影响的,手推了好多遍才发现拉灯结果只和拉的灯有关,这也要打 ...

  3. [拒绝毒瘤的小清新系列] give you a tree

    题面在这里! (小声)这其实是我读错某题之后自己出的一道题...... 正解也很简单啦,直接扫描线+线段树水过(考虑一个合法的区间正好有 siz-1 对树上相邻的点对)23333 #include&l ...

  4. BZOJ 2705 [SDOI2012]Longge的问题(欧拉函数)

    [题目链接] http://www.lydsy.com/JudgeOnline/problem.php?id=2705 [题目大意] 求出∑gcd(i,N)(1<=i<=N) [题解] $ ...

  5. BZOJ 1132 [POI2008]Tro(极角排序)

    [题目链接] http://www.lydsy.com/JudgeOnline/problem.php?id=1132 [题目大意] 平面上有N个点. 求出所有以这N个点为顶点的三角形的面积和(N&l ...

  6. (原创)Stanford Machine Learning (by Andrew NG) --- (week 1) Introduction

    最近学习了coursera上面Andrew NG的Machine learning课程,课程地址为:https://www.coursera.org/course/ml 在Introduction部分 ...

  7. “过时”的SpringMVC我们到底在用什么?深入分析DispatchServlet源码

    之前已经分析过了Spring的IOC(<零基础带你看Spring源码--IOC控制反转>)与AOP(<从源码入手,一文带你读懂Spring AOP面向切面编程>)的源码,本次就 ...

  8. 5分钟上手TypeScript

    安装TypeScript 安装这个工具有两种方式: 用npm安装npm install -g typescript 安装visual studio的TypeScript插件 编译TypeScript ...

  9. [转]iBatis简单入门教程

    iBatis 简介: iBatis 是apache 的一个开源项目,一个O/R Mapping 解决方案,iBatis 最大的特点就是小巧,上手很快.如果不需要太多复杂的功能,iBatis 是能够满足 ...

  10. iOS 在系统设置中展示Version, Build, Git等信息

     在设置中,展示自定义内容,如下图INFO区域内容:         步骤: 1.在项目中添加Settings.bundle文件 Root.plist和Root.plist的Source code如下 ...