如何保护我的脚本免受其他域发送的帖子数据的影响? IE,如果我有一个表格,通过邮件发送一个id号码到一个脚本,说,删除一个从$ _POST收到的id号码的mysql记录?
如果我的域名是:
billmalarky.com
我的脚本位于:
billmalarky.com/script/deletemysqlrecord.php
如果有人在hacker.com上创建了一个具有以下属性的HTML表单,该怎么办?
行动= “http://billmalarky.com/script/deletemysqlrecord.php”
他们开始发送大量的帖子请求等删除我的所有记录(只是一个例子)。
谢谢你们, Billmalarky
答案 0 :(得分:0)
是的,它叫做Csrf
你应该有隐藏字段并在会话中保存随机数
例如
` $ rand = rand(); $ hidden = $ _SESSION ['hidden'] = $ rand;
并在输入字段中添加
'/> `
然后在你的Phph文件中删除你的Shold检查发送隐藏的文件并检查它与会话calles隐藏
问候