【PHP】(原创)之表单FORM的formhash校验,以TP3.2示例

时间:2022-10-16 23:08:57

1、目的:每次表单POST提交(ajax的POST也适用)过来数据,都必须校验formhash参数是否和服务器端的一致,不一致说明重复提交或者 跨站攻击提交csrf

2、原理:参照了 KPPW 的formhash生成和校验示例。将formhash的生成写入基类构造函数,每次登陆用户操作数据,都生成hash并进行比较。

(用户未登录状态,也可以校验formhash,可以让你的网站免于 遭受  无状态脚本提交数据 攻击)

3、formHash的生成代码:注意 这里的formhash一般都是每个用户均不相同,且每个用户的formhash值在几个月以内都是不会变更的。 

<?php
/*
 * 再次封装的BaseController基类 --by xzz 2018/02/07
 * 包括:表单formhash校验原理如下:
 * 将formhash放在构造函数里,GET访问页面生成formhash并渲染在页面,用户提交表单,POST经过构造函数再一次生成一样的formhash
 */
namespace Admin\Controller;
user Think\Controller;
class BaseController extends Controller {
    public function __construct(){
        parent::__construct();
        define("FORMHASH", self::formhash());
        @session_start();
    }
    /* 生成表单随机码,防止XSS攻击,无需同步存储于内存缓存(redis/Mencached)中
     * 返回6位随机码
     */
    static function formhash() {
        $uid = null;
        $username = null;
        if (isset ( $_SESSION ['uid'] )) {
            $uid = $_SESSION ['uid'];
        }
        if (isset ( $_SESSION ['username'] )) {
            $username = $_SESSION ['username'];
        }
        return substr ( md5 ( substr ( time (), 0, - 7 ) . $uid . $username ), - 6 );
    }
    /*
     * formhash校验,传过来的formhash和提交动作再次生成的FORMHASH变量一致,校验通过;否则重复提交
     */
    static function submitcheck($formhash, $return_json = false) {if (! empty ( $formhash ) && $_SERVER ['REQUEST_METHOD'] == 'POST') {
            if ((empty ( $_SERVER ['HTTP_REFERER'] ) || preg_replace ( "/https?:\/\/([^\:\/]+).*/i", "\\1", $_SERVER ['HTTP_REFERER'] ) == preg_replace ( "/([^\:]+).*/", "\\1", $_SERVER ['HTTP_HOST'] )) && $formhash == FORMHASH) {
                return true;
            } elseif ($return_json == true) {
                return false;
            }
        } else {
            return false;
        }
    }
    /* 发送邮件类 -xzz 2018/02/06 */
    public function add2(){
    //校验用户是否登录
    // do user is login ?
header("content-type:text/html;charset=utf-8");
        if(IS_POST){
            var_dump($_POST);
            if(self::submitcheck(trim($_POST['formhash']))){
                if(SendMail($_POST['mail'],$_POST['title'],$_POST['content']))
                    $this->success('发送成功!');
                else
                    $this->error('发送失败');
            }else{
                exit("formhash错误");
            }
        }elseif(IS_GET){
            $this->assign("FORMHASH",FORMHASH);$this->display();
        }
    }
    
}

4、代码解读:

  a. 假设 我们访问上面 add2 页面,首先 输出变量$FORMHASH 并展示在页面隐藏域;

  b. post方式提交后,校验登录态->校验formhash->do what u want to do ..

  c. 第二步,校验formhash:提交的formhash 和 再次生成formhash比较,还看不懂 请再尝试看5遍这个方法 【submitcheck()】

 

5、结束。

 

标签:

相关文章