网站地图    收藏   

子栏目

主页 > php专栏 > php会话 >

php session防url攻击方法 - php会话

来源:自学PHP网    时间:2014-11-27 20:45 作者: 阅读:

[导读] session 跟踪,可以很方便地避免上述情况的发生,php session防url攻击方法代码如下:?phpsession_start();$clean=array();$email_pattern=#39;/^[^@s]+@([-a-z0-9]+.)+[a-z]{2,}$/i#39;;if(p......

php session防url攻击方法

session 跟踪,可以很方便地避免上述情况的发生,php session防url攻击方法代码如下:

  1. <?php 
  2. session_start();  
  3. $clean = array();  
  4. $email_pattern = '/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';  
  5. if (preg_match($email_pattern$_POST['email']))  
  6. //开源代码phpfensi.com 
  7. $clean['email'] = $_POST['email'];  
  8. $user = $_SESSION['user'];  
  9. $new_password = md5(uniqid(rand(), TRUE));  
  10. if ($_SESSION['verified'])  
  11. {  
  12. /* Update Password */  
  13. mail($clean['email'], 'Your New Password'$new_password);  
  14. }  
  15. }  
  16. ?> 

http://example.org/reset.php?user=php&email=chris%40example.org

如果reset.php信任了用户提供的这些信息,这就是一个语义URL 攻击漏洞,在此情况下,系统将会为php 帐号产生一个新密码并发送至chris@example.org,这样chris 成功地窃取了php 帐号.

最新评论

    加载更多~~

    添加评论

    更多文章推荐

    自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

    京ICP备14009008号-1@版权所有www.zixuephp.com

    网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

    添加评论