作者kencool107 (脸都歪了)
看板PHP
标题[请益] 如何确保post是安全的
时间Mon Oct 1 17:37:08 2012
如题
今天我做的网页被别人用post攻击了
上面有关一些金钱的资讯
我接收端有做REFFER的Check
似乎还是不够
利用Md5+key做验证码
可是别人只要开网页原始码
复制一模一样的验证码 到我这边还是会验证通过
到底要怎麽样做
才能防止人家写form来post到我的网站
不可能锁Client端IP
因为那是让使用者来请求服务的
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 60.248.110.133
1F:→ terrybob:为什麽验证码可以从网页原始码取得? 10/01 17:41
2F:→ kencool107:不是会hidden在input里面传到接收端做验证吗 10/01 17:50
3F:推 mervynW:把你大概流程说一说吧 10/01 18:31
网页的内容大概就是使用者会选择金钱
设定是下拉式选单
然後post到後端扣钱
我发现有使用者自己带 负数 金钱
这样 -(-100)就变成 +100
发现後我把负数这个可能性给去掉了
可是我觉得这是治标不治本
人家还是可以自己写东西post到我的後端
可是我却挡不住他
※ 编辑: kencool107 来自: 60.248.110.133 (10/01 18:41)
4F:推 davidou:检查Valve有没有+-*/阿 有就取代或返回错误就好 10/01 18:51
5F:→ MOONRAKER:这就检验再检验吧 记得绝对不要把form取出的东西直接放 10/01 18:51
6F:→ MOONRAKER:到SQL里 可以用阵列对应 只有对应到的东东才合法 10/01 18:53
7F:推 LaPass:regexp很好用的 10/01 19:35
8F:推 alpe:哪来送一个9^30 不知道会发生怎样的事? XDD 10/01 21:11
9F:→ alpe:没法档, 你只能好好检查. 10/01 21:30
10F:推 carlcarl:"不可能" 你就只能好好做过滤 10/02 00:05
11F:推 rockmanalpha:如果金鏄数值回定的话 以充值卷的形式在资料库做吧 10/02 02:56
12F:→ rockmanalpha:以充值卷ID对应资料库中的金额 而不是直接POST金额 10/02 02:57
13F:→ kencool107:我了解了 就是不把敏感的资讯轻易地放在html里面 10/02 09:39
14F:→ bibo9901:不, 应该是「不轻信client传来的任何资讯」 10/02 21:22
15F:→ alog:你的系统运作的可能有瑕疵,你是无法阻止Client端伪造资料的 10/03 11:53