作者arnold0613 (凯)
看板PHP
标题[请益] 要怎样判断请求来源
时间Fri May 30 14:24:39 2014
该如何抓到请求来源判断
我的表单A->B 我在B
用substr_count($_SERVER['HTTP_REFERER'],$_SERVER['SERVER_NAME']
可以判断来源是由哪个网域来的
但是我发生我送去金流後 金流会在导回C 但我在C 用$_SERVER['HTTP_REFERER']是空的
要用甚麽方式确认是由哪网域 或 ip 确保安全性
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.170.31.249
※ 文章网址: http://webptt.com/cn.aspx?n=bbs/PHP/M.1401431082.A.BA7.html
1F:→ kerash:金流送过去的参数没有供开发者传的memo值吗? 05/30 14:34
2F:→ arnold0613:有的 只是想想知道是否可以由谁导入过来的做为判断方法 05/30 14:36
3F:→ alog:换一家好吗 05/30 16:05
4F:→ alog:二来 HTTP REFERER 是仅供参考的东西,不该拿来做验证 05/30 16:06
5F:→ alog:你如果要做高度的防护,建议做在确定入帐的部分 05/30 16:06
6F:→ alog:然後用白名单的方式限定只有某个ip才能存取相关程式 05/30 16:07
7F:→ kerash:楼上请问如果该金流不是透过 server 呼叫而是透过 redirect 05/30 18:44
8F:→ kerash:将资料在金流成功後才 post 回到网站时,这部分要怎麽锁定 05/30 18:44
9F:→ kerash:会比较安全? 05/30 18:44
10F:→ alog:你说的是用form传参数吗,这家金流我有印象 05/31 00:52
11F:→ alog:这部分你完全没办法防,因为只要循着一定的参数就可以偷开单 05/31 00:53
12F:→ alog:缴费成功的资料回传,我印象他们有程式会POST到你的网站 05/31 00:54
13F:→ alog:我不太清楚你说的金流成功是什麽意思 05/31 00:54
14F:→ alog:如果是取得缴费资讯的部分,你可以对订单的效验做调整 05/31 00:56
15F:→ alog:如果是确定入帐的部分,你可以观察他们用的IP或Useragent 05/31 00:56
16F:→ alog:不过个人不建议用 User-Agent 或 Referer 来作为参考 05/31 00:56
17F:→ alog:这两个 Http Header 是 Http Client 给伺服器的 05/31 00:57
18F:→ alog:也意味着他是可以被伪造的 05/31 00:57
19F:→ alog:最佳解还是针对IP,因为他们用的专线很固定 05/31 00:58
20F:→ alog:如果你对这方面还是有疑虑,个人建议换一家金流业者 05/31 01:02