3

フォームを作成していますが、フォームが送信された場合にのみ送信する PHP ページにアクセスできるようにして、PHP ページへのカスタム リクエストを防止したいと考えています。

これは私のform.htmlです:

<html>
    <head>
        <title>Name/Surname form</title>
    </head>
    <body>
        <form id="form1" method="POST" action="processData.php">
            Name: <input type="text" id="name" name="name"><br>
            Surname: <input type="text" id="surname" name="surname"><br>
            <input type="submit" value="Submit form">
        </form>
    </body>
</html>

そして私のprocessData.php:

<?php
    if(!isset($_POST['name'],$_POST['surname'])) die;

    include ("config.php");

    //connect
    $mysqli = new mysqli($dbhost, $dbuser, $dbpassword, $dbname); //variables from config.php

    //check connection
    if (mysqli_connect_errno()) {
        printf("Connect failed: %s\n", mysqli_connect_error());
        exit();
    }


    if ($stmt = $mysqli->prepare("INSERT INTO name_surname_table (name, surname) values (?, ?)")) {

        //bind
        $stmt->bind_param('ss', $name, $surname);

        //set
        $name=$_POST['name'];
        $surname=$_POST['surname'];

        //execute
        $stmt->execute();

        //close
        $stmt->close();
        }
    else {
        //error
        printf("Prepared Statement Error: %s\n", $mysqli->error);
    }
?>

問題は、前のページでフォームを送信せずにカスタム投稿リクエストを実行すると、データがデータベースに送信されることです。つまり、自動化されたプログラムが必要なものをデータベースに入れることができるということです...どうすれば防ぐことができますか?これ?

ありがとう!

4

4 に答える 4

4

ロボットがフォームを自動的に送信しないようにするための多くのオプションがあります。

  1. キャプチャまたは簡単な計算フィールドを使用します (例: What gives 3 + 2 ?)

  2. トークン付き

  3. $_REQUEST変数でいくつかのチェックを行います

トークンは次のように実行できます。

session_start();
//generate a unique string
$token = uniqid(rand(), true);
//Store the token
$_SESSION['token'] = $token;
//Store the token_time
$_SESSION['token_time'] = time();

非表示の入力をフォームに追加します:

<input type="hidden" name="token" id="token" value="<?php echo $token;?>"/>

そして、フォームをデータベースに送信する前よりも:

session_start();
//If token exists
if(isset($_SESSION['token']) && isset($_SESSION['token_time']) && isset($_POST['token']))
{
    //If it's the same as the posted one
    if($_SESSION['token'] == $_POST['token'])
    {
        //For example 15 mins ago
        $old_time = time() - (15*60);
        //If token hasn't expired
        if($_SESSION['token_time'] >= $old_time)
        {
           //Do your queries here
        }
    }
}
于 2013-03-16T11:26:05.987 に答える
1

基本的に、悪意のあるクライアントが「間違った」データをサーバーに送信するのを防ぐことはできません。そのような状況を検出し、エラー ケースを適切に処理するのはユーザー次第です。

特定のユーザーのみがデータを送信できるようにする必要がある場合は、何らかの形式のログイン システムが必要になることは明らかです。次に、ログインしているユーザーからのデータを信頼し、それ以外はすべて拒否できます。

クライアントが前のページにフォームをロードしたことだけを知りたい場合は、「ノンス」を含む非表示フィールドを追加できます。これは、PHP セッションなどのサーバー上のどこかに値を保存するランダムな文字列です。送信された nonce が期待値と一致しない場合は、入力を拒否します。これは、ユーザーがブラウザーでフォームを操作したことを保証するものではなく、フォームをダウンロードしたことのみを保証するものであることに注意してください (プログラムは引き続き nonce を抽出し、フォームの送信を促すことができるため)

于 2013-03-16T11:36:49.593 に答える
0

有効期限が切れる秘密のコードを含む非表示フィールドをフォームに含めることができます...

フォームを生成するときは、時間に対してハッシュを実行するか、乱数を選択するだけでコードを計算します。次に、それをセッションに保存し、送信するフォームに挿入します。

フォーム送信を処理するときは、秘密コードがセッションに保存されているものと同じであることを確認してください。

于 2013-03-16T11:31:11.047 に答える
0

フォームに対してトークンベースの認証を行う必要があります。

フォームを表示するページで、まずセッション変数にランダム コードを設定します。

//generate this using whatever random code generation method you prefer.
$_SESSION["token"] = "your-random-code";

フォーラムには、以下のような隠しフィールドがあります。

<input type="hidden" name="token" value="<?php echo $_SESSION['token'] ?>">

サブミットハンドラーphpファイルで、以下のようなチェックを行います。

if(isset($_POST['token']) && $_POST['token'] == $_SESSION['token'])
于 2013-03-16T11:34:10.147 に答える