主题:  如何防止别人伪造表单?

water87
职务:普通成员
等级:1
金币:0.0
发贴:14
#12002/8/6 16:35:36
我有个php表单接受页,但是有些人会伪造提交页,捣乱或盗用!有什么好的方法可以解决这个问题吗?



helmet
职务:版主
等级:4
金币:10.0
发贴:1559
#22002/8/6 20:03:34
用session 。

在你的网站上浏览的用户,提交表单的时候,HTTP的请求中含有SESSION_ID

如果用户自己写一个提交,当然不行。

举一个例子,http://www.xxx.com/abc.php?ok=3&name=123
如果什么校验也没有,用户当然可以随便请求,
如果校验用户名/密码之类的(其实也就是用了SESSION),那这个链接就无用了。


http://www.bang5.com

helmet
职务:版主
等级:4
金币:10.0
发贴:1559
#32002/8/6 20:07:37
举例:
这个链接:http://calendar.163.com/add.jsp?t2=12&&t1=2002-08-06
如果我登录网易了,那么它就是我的个人事件簿,

如果我没有登录,那么它就禁止浏览。


http://www.bang5.com

5D荣誉斑竹
职务:普通成员
等级:2
金币:1.0
发贴:400
#42002/8/7 19:23:12
可以用标准一点的变量,容易得很
比如 $HTTP_POST_VARS $HTTP_GET_VARS,前端再用javascript,大多数情况都够用了

我一般作系统的习惯是时间戳+乱序密钥+ip组建基本的安全层面