php - Targeting form processing files on a different website -

मान लें कि मेरे पास एक फार्म है और

मेरी वेबसाइट पर: और फ़ाइल क्रिया / हटाएं_ पोस्ट.एफ़पी पोस्ट को फॉर्म में दिए गए आईडी से मेल खाता हटाता है।

कोई एक साइट के साथ किसी साइट को बनाने से यादृच्छिक पदों को हटाने की कोशिश कर सकता है:

  & lt; form action = "http://mysite.com/action/delete_post.php 'विधि = "पोस्ट" & gt; ... & lt; / form & gt;  

और आईडी के पदों के साथ गुजरना वह हटाना चाहते हैं [केवल बुरा होने के मजा लेने के लिए या एक समवर्ती वेबसाइट को नुकसान पहुंचाए या जो कुछ भी हो)

आप अपनी प्रसंस्करण फाइलों को ऐसे लक्ष्यीकरण के रूप में लक्षित कर सकते हैं, तो क्या मुझे इस प्रकार की खतरों के विरुद्ध अपनी फ़ाइलों को सुरक्षित करने की आवश्यकता है?

> पीएस .: मैं

हाँ, इस तरह के हमले को एक क्रॉस-साइट कहा जाता है अनुरोध जालसाजी (सीएसआरएफ),

इस हमले को अवरुद्ध करने का एक आम तरीका एक छिपी हुई इनपुट को एक बेतरतीब ढंग से तैयार की गई टोकन (यहां तक ​​कि md5 (microtime (true)) की तरह कुछ भी शामिल करना है < / कोड> पर्याप्त है)। उपयोगकर्ता के सत्र में हाल ही में मान्य फ़ॉर्म टोकन की सूची रखें, और एक बार उपयोग किए जाने के बाद उन्हें नष्ट कर दें (और केवल 5 या 10 को हाल ही में रखना)। उस क्रिया को पूर्ण न करें, अगर उपयोगकर्ता का कोई मान्य फ़ॉर्म टोकन नहीं है।