针对伪造的数据从URL提交的情况,首先是一个检查前一页来源的如下代码:
1
2
3
4
5
6
7
8
9
|
<? /*PHP防止站外提交数据的方法*/ function CheckURL(){ $servername = $_SERVER [ 'SERVER_NAME' ]; $sub_from = $_SERVER [ "HTTP_REFERER" ]; $sub_len = strlen ( $servername ); $checkfrom = substr ( $sub_from ,7, $sub_len ); if ( $checkfrom != $servername ) die ( "警告!你正在从外部提交数据!请立即终止!" ); } ?> |
这个方法只能防止手动在浏览栏上输入的URL。
事实上只要在服务器上构造出一个指向该URL的链接(比如在发贴时加入超链),再点击,这个Check就完全不起作用了。
目前觉得还是用POST的方法传递重要数据比较可靠。
可以在form中插入一些隐藏的text用于传递数据。
或者使用下面的方法,利用Ajax从客户端向服务器提交数据。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
|
/*创建XHR对象*/ function createXHR() { if (window.XMLHttpRequest){ var oHttp = new XMLHttpRequest(); return oHttp; } else if (window.ActiveXObject){ var versions = [ "MSXML2.XmlHttp.6.0" , "MSXML2.XmlHttp.3.0" ]; for ( var i = 0; i < versions.length; i++){ try { var oHttp = new ActiveXObject(versions[i]); return oHttp; } catch (error) {} } } throw new Error( "你的浏览器不支持AJAX!" ); } /*用AJAX向page页面传递数据*/ function ajaxPost(url,query_string= '' ) { var xhr; xhr = createXHR(); xhr.open( 'POST' ,url, false ); xhr.setRequestHeader( "Content-Type" , "application/x-www-form-urlencoded; charset=gb2312" ); xhr.onreadystatechange = function (){ if (xhr.readyState == 4) if (xhr.status != 200) return ;} xhr.send(query_string); } |