如何确认 php 中的提交来源？检查 http 引用头以确保请求来自同一域名。验证 http post 数据中特定字段的值是否与预期匹配。使用 csrf 令牌以防止跨站请求伪造 (csrf) 攻击。通过将盐添加到提交的数据中并散列数据来防止伪造。

如何确认 PHP 中的 submit 来源

在 PHP 中，确认 submit 来源对于防止伪造请求至关重要。以下方法可用于识别发出请求的页面：

1. 检查 HTTP 引用头

HTTP 引用头包含了用户访问当前页面的 URL。通过检查此头，你可以确定请求是否来自同一域名：

立即学习“PHP免费学习笔记（深入）”；

if (isset($_SERVER['HTTP_REFERER']) && strpos($_SERVER['HTTP_REFERER'], 'yourdomain.com') !== false) {
  // 请求来自同一域名
}

2. 检查 HTTP POST 数据

HTTP POST 数据包含了表单提交的数据。你可以检查特定字段，如隐藏字段，以确保它与预期的值匹配：

if (isset($_POST['nonce']) && $_POST['nonce'] === 'expected_nonce') {
  // 请求来自预期的表单
}

3. 使用 CSRF 令牌

CSRF 令牌是一种随机生成的字符串，在每次会话中都会更改。它可以作为隐藏字段提交，并与会话中的令牌进行比较：

// 在会话中存储 CSRF 令牌
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));

// 在表单中包含隐藏字段
<input type="hidden" name="csrf_token" value="&lt;?php echo $_SESSION['csrf_token']; ?&gt;">

// 检查提交的令牌
if (isset($_POST['csrf_token']) &amp;&amp; $_POST['csrf_token'] === $_SESSION['csrf_token']) {
  // 请求来自预期的表单
}

4. 使用 Salt

Salt 是一个随机字符串，添加到提交的数据中以防止伪造。它与数据本身一起散列，如果 salt 不同，则无法再现相同的散列：

// 生成盐
$salt = bin2hex(random_bytes(32));

// 将盐添加到数据
$data = 'some_data' . $salt;

// 散列数据
$hash = hash('sha256', $data);

// 检查提交的 hash
if (isset($_POST['hash']) && $_POST['hash'] === $hash) {
  // 请求来自预期的表单
}

通过使用这些方法之一或多种方法，你可以确定 PHP 中 submit 的来源，防止伪造请求并提高 Web 应用程序的安全性。