• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    详解php curl带有csrf-token验证模拟提交方法

    通常为了安全会在表单里加入一个随机的token值来防止csrf攻击。

    要想模拟提交有token验证的网站其实也不难。

    1.通过正则获取token
    2.带上获取到的token模拟提交

    下面是一个成功的例子

    目录结构

    │ form.php –需要模拟的表单 
    │ getForm.php – 模拟提交程序 
    │ post.php –表单验证程序 
    │ 
    └─cookie – cookie存放目录

    getForm.php

    ?php
    $cookie_file = './cookie/'.time().'.cookie';
    $str = getResponse('http://a.curl.com:81/form.php',[],$cookie_file);
    setcookie("PHPSESSID", "vc0heoa6lfsi3gger54pkns152");
    preg_match('/input name="token" type="hidden" value="(.*)"/U', $str, $match);
    
    $post['token'] = $match[1];
    $post['name'] = '3333333';
    $post['password'] = '12121213';
    print_r(getResponse('http://a.curl.com:81/post.php', $post, $cookie_file));
    
    function getResponse($url, $data=[], $cookie_file='', $timeout = 3)
      {
        if(empty($cookie_file))
        {
          $cookie_file = '.cookie';
        }
    
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_REFERER, "https://www.baidu.com");  //构造来路
        curl_setopt($ch, CURLOPT_USERAGENT,"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36");
    
        if(!empty($data))
        {
          curl_setopt($ch, CURLOPT_POST, true);
          curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
        }
        curl_setopt($ch, CURLOPT_COOKIEJAR, $cookie_file);// 取cookie的参数是
        curl_setopt ($ch, CURLOPT_COOKIEFILE, $cookie_file); //发送cookie
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
        try
        {
           $handles = curl_exec($ch);
           curl_close($ch);
           return $handles;
        }
        catch (Exception $e)
        {
          echo 'Caught exception: ', $e->getMessage(), "\n";
        }
        unlink($cookie_file);
      }
    
    

    form.php

    ?php
    session_start();
    $_SESSION['token'] = md5($_SERVER['REQUEST_TIME']);
    $_SESSION['time'] = date("Y-m-d H:i:s");
    session_write_close();
    //echo $_SESSION['auth'];
    ?>
    !DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    html xmlns="http://www.w3.org/1999/xhtml">
     head>
     title> new document /title>
     meta name="generator" content="editplus" />
     meta name="author" content="" />
     meta name="keywords" content="" />
     meta name="description" content="" />
     /head>
     body>
    form action="post.php" method="post">
      p>input name="name" type="text">/p>
      p>input name="password" type="password">/p>
      p>input name="token" type="hidden" value="?php echo $_SESSION['token']?>">/p>
      p>input type="submit">/p>
    /form>
     /body>
    /html>
    

    post.php

    ?php
    session_start();
    if(empty($_POST['token']))
    {
      exit ("token is empty!");
    }
    
    if(empty($_SESSION['token']))
    {
     exit ("session is empty");
    }
    
    if($_POST['token'] != $_SESSION['token'])
    {
      exit ("token ");
    } else
    {
      unset($_SESSION['token']);
    }
    
    echo PHP_EOL;
    echo "pass";
    print_r($_REQUEST);
    
    echo PHP_EOL;
    print_r($_SERVER);
    
    

    以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

    您可能感兴趣的文章:
    • php版微信开发Token验证失败或请求URL超时问题的解决方法
    • 关于php微信订阅号开发之token验证后自动发送消息给订阅号但是没有消息返回的问题
    • PHP实现防止表单重复提交功能【基于token验证】
    • Thinkphp5 微信公众号token验证不成功的原因及解决方法
    • php token使用与验证示例【测试可用】
    • 验证token、回复图文\文本、推送消息的实用微信类php代码
    • php 表单验证实现代码
    • 基于PHP+Ajax实现表单验证的详解
    • php下常用表单验证的正则表达式
    • Ajax和PHP正则表达式验证表单及验证码
    • PHP token验证生成原理实例分析
    上一篇:php-app开发接口加密详解
    下一篇:PHP迭代器和迭代的实现与使用方法分析
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    详解php curl带有csrf-token验证模拟提交方法 详解,php,curl,带有,csrf-token,