PHP僅從特定頁面接受GET方法
[英]PHP accept GET method only from specific page
問題描述
我有兩個PHP文件:
1.PHP
<?php
... header("location: 2.php?id=1");
?>
2.PHP
<?php
... echo $_GET['id'];
?>
從1.php到2.php的URL是: http://localhost/2.php?id=1
我的問題。 是否有可能驗證get方法來自哪里,並且僅在來自1.php時才接受。 但是,如果地址欄中的某人更改了ID值,則忽略嗎? 帶有$_SERVER['HTTP_REFERER']東西,但我不確定
2 個解決方案
解決方案1
4 2016-06-13 14:16:51
是否有可能驗證get方法來自哪里,並且僅在來自1.php時才接受。
不可靠。
但是,如果地址欄中的某人更改了ID值,則忽略嗎?
尋找其他可以測試的東西。 (例如,這是已登錄並有權查看具有該ID的頁面的用戶嗎?)。
解決方案2
0 已采納 2016-06-13 14:34:03
簡單的答案是否定的。 $ _SERVER ['HTTP_REFERER']通常被瀏覽器禁用,並且容易被欺騙。
您可以根據自己的需要做一些事情:
<?php
//1.php
$id = 1;
$key = generateKeyBasedOnId($id);
header("location: 2.php?id=$id&key=$key");
?>
您可以根據需要編寫generateKeyBasedOnId()函數,但是您是唯一應該知道該算法的人。 (例如,返回md5('my very secret'。$ id.'string');
<?php
//2.php
if($_GET['key'] !== generatekeyBasedOnId($_GET['id'])) {
//error
}
?>
當然,如果有人復制粘貼URL 2.php?id = ..&key = ...,它仍然可以工作。 您可以將密鑰隱藏到cookie中,但是仍然很容易欺騙。
您還可以生成隨機密鑰,將其保存到數據庫中,在2.php中讀取它,如果存在,請立即將其刪除。 因此該密鑰只能使用一次。 但是,如果有人抓住了您的標頭重定向,他仍然可以(理論上)接受它並在不同國家的不同瀏覽器中使用它...
僅使用Zend \\ Http \\ Client和Curl從特定服務器獲取PHP頁面內容
[英]Get PHP page content only from specific server with Zend\Http\Client and Curl
如何使用 ajax 中的 get 方法僅將 html 代碼“(不包括標簽)”的文本部分傳遞給 php 頁面
[英]How to pass only text part of html code `(excluding the tags)` to php page using get method from ajax
如何限制字母數並僅接受PHP STDIN中的特定字母?
[英]How to limit the letter count and accept only specific letters in PHP STDIN?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.