我正在使用 WAMP 并在本地托管 PHP 文件。
假设我有这两个文件。
customer.php- 添加客户详细信息的表单
recordCustomer.php- 连接到数据库并将信息存储在数据库中(所有处理完成的地方)
如何通过在地址栏中输入文件名来阻止用户访问文件 recordCustomer.php。
http://localhost/testing/recordCustomer.php has to be redirected and given an error message
然而
http://localhost/testing/customer.php is allowed
谢谢
【问题讨论】:
问题不在于对recordCustomer.php 的访问,而是如果访问是直接的,则执行代码这一事实。
例如,阻止通过 htaccess 访问会使您的表单无法提交。
您应该在customer.php 表单中使用随机令牌。令牌被保存到会话中并插入到带有隐藏输入的表单中。
在recordCustomer.php 上,您只需要检查是否给出了令牌以及它是否与会话中的令牌匹配。
如果匹配 => 这是对recordCustomer.php的合法调用
else => 尝试绕过你的表单,拒绝请求。
这是一个 CSRF 攻击的学校案例;)
以here 为例
【讨论】:
您不必阻止对整个 recordCustomer.php 的访问,您只需要在 recordCustomer.php 的开头检查调用page 有权修改他在表单中发送的记录。如果没有,则显示错误。
我贴一些代码让你明白。
recordCustomer.php的伪/php代码:
if (! isset($_SESSION['user_logged'])) {
echo 'You have to be logged in to access this page (this incident will be logged)';
exit;
}
$user = $_SESSION['user_logged']; //this was saved when the user logged in
$record = $_POST['record_to_modify'];
if (!user_can_modify_record($user, $record)) {
echo 'You dont have permission to access that record (this incident will be logged)';
exit;
}
//HERE THE REST OF recordCustomer.php
function user_can_modify_record($user, $record) {
$set = db_query("select user from table where user = '". $user. "' and record_id = ". $record);
return db_count_rows($set) > 0;
}
【讨论】:
您可以通过以下方式简单地检查是否从表单请求文件:
if(isset($_POST['submit']))
【讨论】: