Question

我一直在阅读this blog post和stack overflow post，但我对散列表单字段没有太多经验（蜜罐部分，网上似乎有很多例子）所以我有一些问题。

问题1

它是这样的还是我离开基地？（注意，这是一个简化的例子，只是简洁的时间戳）

表单上的PHP：

$time = mktime(); 
$first_name = md5($time + 'first_name');

表单上的HTML：

<form action="register.php" method="post">
<input type="text" name="<?php echo $first_name ?>" >
<input type="hidden" name="check" value="<?php echo $time ?>" >
<input type="submit" name="register">
</form>

Register.php

// check to see if there is a timestamp
if (isset($_POST['check'])) {
    $time = strtotime($_POST['check']);

    if (time() < $time) {
    // original timestamp is in the future, this is wrong
    }

    if (time() - $time < 60) {
    // form was filled out too fast, less than 1 minute?
    }

    // otherwise
    $key = $_POST['check'];

    if (md5($key + 'first_name') == $_POST['whatever-the-hash-on-the-first_name-field-was']) {
        // process first_name field?
    }
}

问题2：

字段名称的散列如何使事情更安全？我得到了时间戳检查（虽然我不明白博客文章中的部分“过去太远了......”如果有什么事情，机器人不会填写它太快了吗？）但我不确定是什么哈希name属性完全正确。

Answer 1

在将字段名称服务器端发送到客户端之前，需要对其进行哈希：

<form action="register.php" method="post">
<? $timestamp = time() ?>
<!-- This is where the user would put the email. Don't put this comment in for real -->
<input type="text" name="<?php echo md5("email" . $timestamp . $secretKey) ?>" >
<input type="hidden" name="check" value="<?php echo $timestamp ?>" >
<input type="submit" name="register">
</form>

这将随机化字段的名称。在发布数据时在服务器上，您需要重新散列字段名称以找到正确的后置变量：

<?
    if (isset($_POST['check'])) {
        $email = $_POST[md5("email" . $_POST['check'] . $secretKey)];
    }
?>

该博客的作者说这是防止重播攻击的一种方法。我认为这个想法有一些优点，以下是它的工作原理：

攻击者会访问您的网站，并手动填写表单，记录您的所有字段名称。
然后，他会将这些记录的字段名称输入到他的机器人中，然后对机器人进行编程，以便稍后重新填写表格。
攻击者可能会为“电子邮件字段”<input type="text" name="0c83f57c786a0b4a39efab23731c7ebc" />和隐藏的检查字段<input type="hidden" name="2012/05/11 12:00:00" />
然后机器人将使用不同的数据发布那些相同的字段。
这是您触发“过去太远”检查的地方。机器人将发布带有旧日期的带时间戳的表格，你会拒绝它。

我希望这有助于您了解博客作者的目标。

PHP哈希输入字段名称

1 个答案: