【发布时间】:2011-07-21 22:42:55
【问题描述】:
我目前正在编写一个使用表单和 PHP $_POST 数据的 Web 应用程序(到目前为止是标准的!:))。但是,(这可能是一个菜鸟查询)我刚刚意识到,理论上,如果有人在他们的计算机上将一个 HTML 文件与一个伪造的表单放在一起,则将该操作作为我网站上使用的脚本之一并用他们自己的随机数据填充此表单,然后他们不能将这些数据提交到表单中并导致问题吗?
我会清理数据等,所以我不会(太)担心 XSS 或注入式攻击,我只是不希望有人能够,例如,将无意义的东西添加到购物车等。
现在,我意识到对于某些脚本我可以编写保护措施,例如只允许可以在数据库中找到的购物车中的东西,但可能存在无法预测的某些情况所有情况。
所以,我的问题是 - 是否有可靠的方法来确保我的 php 脚本只能由我网站上托管的表单调用?也许一些 Http Referrer 检查脚本本身,但我听说这可能不可靠,或者可能是一些 htaccess 巫术?这似乎是一个太大的安全漏洞(尤其是对于客户评论或任何客户输入之类的东西),而不能让它保持开放状态。任何想法将不胜感激。 :) 再次感谢!
【问题讨论】:
-
您必须在表单中添加某种独特的令牌。