[PHP安全] 防止从外部提交数据的方法（非：HTTP_REFERER ）

gzdkj

　　求教PHP中防止从外部提交数据的方法，网上介绍最多的是通过 $_SERVER['HTTP_REFERER ']来进行检查，但通过实践，HTTP_REFERER 环境变量会受客户端防火墙软件的影响，如：Symantec Client Firewall 的稳私保护功能，一但开启，服务器接收到的$_SERVER['HTTP_REFERER ']总为空值。

　　还有什么好方法，无论是ＰＨＰ程序来控制的，还是Linux、Apache来控制的都可以，还请大家介绍一下，先谢谢啦～

笨狗

认证码?

gzdkj

我要解决的所有表单提交的情况，不仅仅只是会员登入时，感谢楼上仁兄的回应～

gydoesit

解决这个是干什么,首先要说明,

gzdkj

1。防止别人把网页抓到本地,修改表单控件后和各种参数后远程提交数据；
2。防止那种自动发文的软件在网站发布垃圾信息，就好像那种一次可以几百个讨论区发文的软件；

gydoesit

原帖由 "gzdkj" 发表：
1。防止别人把网页抓到本地,修改表单控件后和各种参数后远程提交数据；
2。防止那种自动发文的软件在网站发布垃圾信息，就好像那种一次可以几百个讨论区发文的软件；

郁闷,http_referer伪造一个就行了,不知你如何防止

1. <?php
   
2. $host = "www.123cha.com";
   
3. $referer = "http://".$host;
   
4. $fp = fsockopen ($host, 80, $errno, $errstr, 30);
   
5. if (!$fp){
   
6.         echo "$errstr ($errno)<br>;\n";
   
7. }else{
   
8. $request = "
   
9. GET / HTTP/1.1
   
10. Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-powerpoint, application/vnd.ms-excel, application/msword, */"."*
    
11. Referer: http://$host
    
12. Accept-Language: zh-cn
    
13. Accept-Encoding: gzip, deflate
    
14. User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
    
15. Host: $host
    
16. Connection: Close"
    
17. ."\r\n\r\n";
    
18. 
    
19. 
    
20. fputs ($fp, "$request");
    
21. while (!feof($fp))
    
22. {
    
23.    $res[] = fgets($fp,1024);
    
24. }
    
25. $html = join("",$res);
    
26. fclose ($fp);
    
27. $fp = file_put_contents("123cha.html",$html);
    
28. echo "done";
    
29. }

复制代码

这不就行了?

不过很奇怪的是,
www.hao123.com
的页面抓下来是乱码(除了http头),这是为什么?难道是因为用了gzip之类压缩?

1. <?php
   
2. $host = "www.hao123.com";
   
3. $html = file_get_contents("http://".$host);
   
4. $fp = file_put_contents("hao123.html",$html);
   
5. echo "done";
   
6. ?>;

复制代码

但这样抓的就没问题.

再来分析开始抓的http头

1. HTTP/1.1 200 OK Date: Wed, 31 Aug 2005 00:59:36 GMT Server: Apache/1.3.27 Cache-Control: max-age=1296000 Expires: Thu, 15 Sep 2005 00:59:36 GMT Last-Modified: Mon, 29 Aug 2005 13:56:00 GMT Accept-Ranges: bytes Connection: close Content-Type: text/html Content-Encoding: gzip Content-Length: 14567

复制代码

果然有这句,Content-Encoding: gzip
原来压缩了的,长度14567字节了,
用第二种方法抓,原来没压缩的html是71143字节,原来file_get_contents还可以自动解压缩.

对这种不需要验证http_referer和cookie之类的网页,当然可以用第二种方法抓,但我想知道,如果用第一种方法抓,如何得到和第二种一样的结果???

HonestQiao

[quote]原帖由 "gzdkj"]我要解决的所有表单提交的情况，不仅仅只是会员登入时，感谢楼上仁兄的回应～[/quote 发表：



互联网的本来就是链接的天堂，你倘若真要这么作，我的建议，拔掉网线

gzdkj

原帖由 "gydoesit" 发表：

果然有这句,Content-Encoding: gzip
原来压缩了的,长度14567字节了,
用第二种方法抓,原来没压缩的html是71143字节,原来file_get_contents还可以自动解压缩.

对这种不需要验证http_referer和cookie之类的网页..........

感谢回应，但魔高一尺也希望能道高一丈~希望能有防范的方法~

另外我不是要防止别人抓网页，我要防止别人从外部提交表单数据~谢谢！

gzdkj

原帖由 "HonestQiao" 发表：



互联网的本来就是链接的天堂，你倘若真要这么作，我的建议，拔掉网线

不知所云~按你所说，那技术人员就什么都不用做了~

HonestQiao

原帖由 "gzdkj" 发表：
1。防止别人把网页抓到本地,修改表单控件后和各种参数后远程提交数据；
2。防止那种自动发文的软件在网站发布垃圾信息，就好像那种一次可以几百个讨论区发文的软件；

你这不都是提交数据么，为什么不简单的加一个认证码来实现呢？

不知道你是按照什么道理不采用认证码这个最好的方案的