[PHP安全] 防止從外部提交數(shù)據的方法（非：HTTP_REFERER ）

gzdkj

　　求教PHP中防止從外部提交數(shù)據的方法，網上介紹最多的是通過 $_SERVER['HTTP_REFERER ']來進行檢查，但通過實踐，HTTP_REFERER 環(huán)境變量會受客戶端防火墻軟件的影響，如：Symantec Client Firewall 的穩(wěn)私保護功能，一但開啟，服務器接收到的$_SERVER['HTTP_REFERER ']總為空值。

　　還有什么好方法，無論是ＰＨＰ程序來控制的，還是Linux、Apache來控制的都可以，還請大家介紹一下，先謝謝啦～

笨狗

認證碼?

gzdkj

我要解決的所有表單提交的情況，不僅僅只是會員登入時，感謝樓上仁兄的回應～

gydoesit

解決這個是干什么,首先要說明,

gzdkj

1。防止別人把網頁抓到本地,修改表單控件后和各種參數(shù)后遠程提交數(shù)據；
2。防止那種自動發(fā)文的軟件在網站發(fā)布垃圾信息，就好像那種一次可以幾百個討論區(qū)發(fā)文的軟件；

gydoesit

原帖由 "gzdkj" 發(fā)表：
1。防止別人把網頁抓到本地,修改表單控件后和各種參數(shù)后遠程提交數(shù)據；
2。防止那種自動發(fā)文的軟件在網站發(fā)布垃圾信息，就好像那種一次可以幾百個討論區(qū)發(fā)文的軟件；

郁悶,http_referer偽造一個就行了,不知你如何防止

1. <?php
   
2. $host = "www.123cha.com";
   
3. $referer = "http://".$host;
   
4. $fp = fsockopen ($host, 80, $errno, $errstr, 30);
   
5. if (!$fp){
   
6.         echo "$errstr ($errno)<br>;\n";
   
7. }else{
   
8. $request = "
   
9. GET / HTTP/1.1
   
10. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */"."*
    
11. Referer: http://$host
    
12. Accept-Language: zh-cn
    
13. Accept-Encoding: gzip, deflate
    
14. User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    
15. Host: $host
    
16. Connection: Close"
    
17. ."\r\n\r\n";
    
18. 
    
19. 
    
20. fputs ($fp, "$request");
    
21. while (!feof($fp))
    
22. {
    
23.    $res[] = fgets($fp,1024);
    
24. }
    
25. $html = join("",$res);
    
26. fclose ($fp);
    
27. $fp = file_put_contents("123cha.html",$html);
    
28. echo "done";
    
29. }

復制代碼

這不就行了?

不過很奇怪的是,
www.hao123.com
的頁面抓下來是亂碼(除了http頭),這是為什么?難道是因為用了gzip之類壓縮?

1. <?php
   
2. $host = "www.hao123.com";
   
3. $html = file_get_contents("http://".$host);
   
4. $fp = file_put_contents("hao123.html",$html);
   
5. echo "done";
   
6. ?>;

復制代碼

但這樣抓的就沒問題.

再來分析開始抓的http頭

1. HTTP/1.1 200 OK Date: Wed, 31 Aug 2005 00:59:36 GMT Server: Apache/1.3.27 Cache-Control: max-age=1296000 Expires: Thu, 15 Sep 2005 00:59:36 GMT Last-Modified: Mon, 29 Aug 2005 13:56:00 GMT Accept-Ranges: bytes Connection: close Content-Type: text/html Content-Encoding: gzip Content-Length: 14567

復制代碼

果然有這句,Content-Encoding: gzip
原來壓縮了的,長度14567字節(jié)了,
用第二種方法抓,原來沒壓縮的html是71143字節(jié),原來file_get_contents還可以自動解壓縮.

對這種不需要驗證http_referer和cookie之類的網頁,當然可以用第二種方法抓,但我想知道,如果用第一種方法抓,如何得到和第二種一樣的結果???

HonestQiao

[quote]原帖由 "gzdkj"]我要解決的所有表單提交的情況，不僅僅只是會員登入時，感謝樓上仁兄的回應～[/quote 發(fā)表：



互聯(lián)網的本來就是鏈接的天堂，你倘若真要這么作，我的建議，拔掉網線

gzdkj

原帖由 "gydoesit" 發(fā)表：

果然有這句,Content-Encoding: gzip
原來壓縮了的,長度14567字節(jié)了,
用第二種方法抓,原來沒壓縮的html是71143字節(jié),原來file_get_contents還可以自動解壓縮.

對這種不需要驗證http_referer和cookie之類的網頁..........

感謝回應，但魔高一尺也希望能道高一丈~希望能有防范的方法~

另外我不是要防止別人抓網頁，我要防止別人從外部提交表單數(shù)據~謝謝！

gzdkj

原帖由 "HonestQiao" 發(fā)表：



互聯(lián)網的本來就是鏈接的天堂，你倘若真要這么作，我的建議，拔掉網線

不知所云~按你所說，那技術人員就什么都不用做了~

HonestQiao

原帖由 "gzdkj" 發(fā)表：
1。防止別人把網頁抓到本地,修改表單控件后和各種參數(shù)后遠程提交數(shù)據；
2。防止那種自動發(fā)文的軟件在網站發(fā)布垃圾信息，就好像那種一次可以幾百個討論區(qū)發(fā)文的軟件；

你這不都是提交數(shù)據么，為什么不簡單的加一個認證碼來實現(xiàn)呢？

不知道你是按照什么道理不采用認證碼這個最好的方案的