后变量的安全性 [英] security of post variables

问题描述

大家好，


我想知道是否有办法确保在提交表格

并使用POST vars时，发送表单的页面驻留在与表单操作中指定的目标页面相同的

服务器上。


例如，如果我在接受POST的实时服务器上有一个页面

变量，我可以简单地在我的本地主机上创建第二页或任何

其他服务器，让我发送任何我想要的值

这些POST变量。


我对所有用户提交的数据进行了错误检查，但是我想知道是否还有其他我应该做的事情接受这些

变量更安全。


非常感谢。

解决方案

Marcus（Ju********@aol.com）写道：

：大家好，


：我想知道是否有一种方法可以确保在提交表格时提供表格

：并使用POST vars，发送表单的页面位于同一个

：服务器上，作为表单操作中指定的目标页面。


：例如，如果我有一个页面一个接受POST的实时服务器

：变量，我可以在我的本地主机或任​​何

：其他服务器上创建第二页，让我发送任何值我想要

：这些POST变量。


：我对所有用户提交的数据进行了错误检查，但我想知道是否

：我还应该做些什么来接受这些

：变量更安全。


：非常感谢。


你做什么，不要使用''referer''，因为它可以伪造。


我必须问，因为数据只是你的服务器看到了什么呢？
表格来自何处？


你收到的数据总是伪造的。在任何应用程序中，您必须

始终验证您的输入。正确的验证是确保您安全的必要步骤之一。


-


此空间非租赁。

2005年4月1日星期五21:09:38 GMT，Marcus< Ju ******** @ aol.com>写道：

我想知道是否有办法确保在提交表格
和使用POST vars时，发送表单的页面位于同一页面
server作为表单操作中指定的目标页面。


页面不发送表格。客户端。

例如，如果我在实时服务器上有一个接受POST
变量的页面，我可以在我的本地主机上创建第二页或任何其他
其他服务器，让我发送我想要的任何值这些POST变量。

我对所有用户提交的数据进行了错误检查，但我想知道是否
我应该采取的其他措施使接受这些变量更加安全。

如果检查数据，它的来源是否重要？


-

Andy Hassall /< an ** @ andyh.co.uk> /< http://www.andyh.co.uk>

< http://www.andyhsoftware.co.uk/space>空间：磁盘使用情况分析工具

Marcus napisa3：

大家好，

我在想如果有办法确保在提交表单和使用POST变量时，发送表单的页面与表单操作中指定的目标页面位于同一服务器上。

我对所有用户提交的数据进行了错误检查，但我想知道是否还有其他任何我应该做的接受这些变量更安全。

非常感谢。

嗯...一个解决方案是使用Sessions。但是对于你想要的东西来说，这可能是一个小小的过滤器。


干杯

迈克

Hi All,

I was wondering if there is a way to ensure that when submitting forms
and using POST vars, the page sending the form resides on the same
server as the destination page specified in the form action.

For example, if I have a page on a live server that accepts POST
variables, I can simply create a second page on my local host or any
other server for that matter that lets me send any values I want for
these POST variables.

I have error checks on all user submitted data, but I was wondering if
there is anything else that I should do to make accepting these
variables more secure.

Thanks a bunch.

解决方案

Marcus (Ju********@aol.com) wrote:
: Hi All,

: I was wondering if there is a way to ensure that when submitting forms
: and using POST vars, the page sending the form resides on the same
: server as the destination page specified in the form action.

: For example, if I have a page on a live server that accepts POST
: variables, I can simply create a second page on my local host or any
: other server for that matter that lets me send any values I want for
: these POST variables.

: I have error checks on all user submitted data, but I was wondering if
: there is anything else that I should do to make accepting these
: variables more secure.

: Thanks a bunch.

What ever you do, don''t use ''referer'', cause it can be faked.

I must ask, since the data is only seen by your server, then what does it
matter where the form came from?

The data you receive can always be faked. In any application, you must
always validate your input. Proper validation is one of the essential
steps in ensuring you are secure.

--

This space not for rent.

On Fri, 01 Apr 2005 21:09:38 GMT, Marcus <Ju********@aol.com> wrote:

I was wondering if there is a way to ensure that when submitting forms
and using POST vars, the page sending the form resides on the same
server as the destination page specified in the form action.
Pages don''t send forms. Clients do.
For example, if I have a page on a live server that accepts POST
variables, I can simply create a second page on my local host or any
other server for that matter that lets me send any values I want for
these POST variables.

I have error checks on all user submitted data, but I was wondering if
there is anything else that I should do to make accepting these
variables more secure.

If you check the data, does it matter where it comes from?

--
Andy Hassall / <an**@andyh.co.uk> / <http://www.andyh.co.uk>
<http://www.andyhsoftware.co.uk/space> Space: disk usage analysis tool

Marcus napisa3:

Hi All,

I was wondering if there is a way to ensure that when submitting forms
and using POST vars, the page sending the form resides on the same
server as the destination page specified in the form action.

For example, if I have a page on a live server that accepts POST
variables, I can simply create a second page on my local host or any
other server for that matter that lets me send any values I want for
these POST variables.

I have error checks on all user submitted data, but I was wondering if
there is anything else that I should do to make accepting these
variables more secure.

Thanks a bunch.

Hmmm... One solution is using Sessions. But it can be a ittle overshot
for what you are looking for.

Cheers
Mike

这篇关于后变量的安全性的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！