张磊的blog

防止跨站提交数据[php]

以前写的程序全都没有禁止跨站提交数据——也没出过啥问题。但现在想想健壮一点还是做一个检查的好。以前不做还有一个原因是不知道该怎么做，但真正想做的时候，互联网就起作用了。

定义一个变量$siteurl，储存网站地址。然后加入下面这个函数，在每个表单处理开始之前调用一下，就可以了。

function check_referer(){
global $siteurl,$HTTP_SERVER_VARS;
if(strstr($HTTP_SERVER_VARS['HTTP_REFERER'],$siteurl)==”")
{
refreshto($siteurl,”Injection”);
}
}

如果熟悉PW，可以看出与PW中一些东西类似吧 。PW让我受益良多啊。 里面的那个”refreshto”函数可不是PHP内建的哦，需要自己写一个实现。