标签: php
我似乎无法在网上找到任何答案,但我怎么能确定从我的网站提交的$ _POST变量或表单,而不是任何旧网站。有没有办法过滤这个?
谢谢!
答案 0 :(得分:4)
在所有表单提交(作为隐藏输入)和副作用URL(在查询字符串中)中需要一个特定于用户的秘密令牌。
如果您使用会话,则可以在创建会话时生成令牌并将其存储在会话数据中。
答案 1 :(得分:0)
要添加更多安全措施,您还应该指定一个允许期限(如一小时)来使会话/令牌过期