‘壹’ php如何防止第三方网站私自调用网站的后端接口
一般不用担心这个的,别人看不到你php的函数。如果非要做的话可以加
A.php:
define('Sign','123');
require_once('B.php');
B.php:
if(!defined('Sign')){
echo '非法调用';
return;
}
这个方法是B文件检测是否A文件存在Sign常量,也可以说是签名,有签名才能调用,没有签名就输出非法调用
‘贰’ 这个php防外链代码怎么改才能自动判断url是否带http://
呵,直接给你正则好了
$url=$_GET['url'];
$preg='|^http://|'; //正则,匹配以http://开头的字符串
if(!preg_match($preg,$url)) { //如果不能匹配
$url='http://'.$url;
}
header("Location:".$url);
对了,建议你用<?php somecode... ?>的格式
‘叁’ PHP文件如何做防盗链
最简单的方法 定义一个常量 做密钥 访问之前判断一下 有该值并正确就执行后面的代码 不正确就die 不过这东西基本不用但 框架写的程序都不存在这个问题
‘肆’ PHP文件防盗链了,怎么破解呢
用CURL摸拟请求
$url="目标地址";
//.
functiondisguise_curl($url)
{
$curl=curl_init();
//Setupheaders-.0.0.6
//belowwassplitupbecausephp.netsaidthelinewastoolong.:/
$header[0]="Accept:text/xml,application/xml,application/xhtml+xml,";
$header[0].="text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5";
$header[]="Cache-Control:max-age=0";
$header[]="Connection:keep-alive";
$header[]="Keep-Alive:300";
$header[]="Accept-Charset:ISO-8859-1,utf-8;q=0.7,*;q=0.7";
$header[]="Accept-Language:en-us,en;q=0.5";
$header[]="Pragma:";//browserskeepthisblank.
curl_setopt($curl,CURLOPT_URL,$url);
curl_setopt($curl,CURLOPT_USERAGENT,'Googlebot/2.1');
curl_setopt($curl,CURLOPT_HTTPHEADER,$header);
curl_setopt($curl,CURLOPT_REFERER,'www.google.com');
curl_setopt($curl,CURLOPT_ENCODING,'gzip,deflate');
curl_setopt($curl,CURLOPT_AUTOREFERER,true);
curl_setopt($curl,CURLOPT_RETURNTRANSFER,1);
curl_setopt($curl,CURLOPT_TIMEOUT,10);
$html=curl_exec($curl);//executethecurlcommand
curl_close($curl);//closetheconnection
return$html;//andfinally,return$html
}
//
$text=disguise_curl($url);
echo$text;
CURLOPT_REFERER这个的值设置成目标网站的域一般都能过。
‘伍’ 如何禁止网站被反向代理
在前几天两个站点被别人完全境像代理,基本上就是直接让他给复制过去了,我也是醉了,直接镜像过去,然后再缓存到他自己的服务器上面,真是绝了,你自己的站点再加什么代理去反代理也不管用了,因为他的站点根本就不变,使用了 .htaccess 来反代理,也使用了 js 判断域名都不管用,所以我一直在判断他使用了缓存机制,如果不使用缓存,时时代理的话肯定是可以的,我先把这两种方法来总结一下吧。
一、使用 .htaccess 禁止反向代理
在站点根目录下新建 .htaccess 文件,然后添加如下的内容:
RewriteEngine On
RewriteBase /
php_value auto_append_file proxy.php
再新建 proxy.php 文件,添加如下代码保存.
<?php
$f = getenv("HTTP_X_FORWARDED_FOR");
$url = "https://www.xiariboke.com";
if ($f!=""){
print "“;
print ““;
}
?>
二、使用 js 代码判断域名
<script type="text/javascript">
if (document.domain != 'xiariboke.com' && document.domain != 'www.xiariboke.com'){
window.location.href='http://www.xiariboke.com/';
}
</script>
这种是首先判断他的域名是不是 xiariboke.com 这个域名,如果是则正常访问,如果不是则跳转到原网站。
三、使用 php 判断域名
这种方法跟使用 js 代码来跳转域名是一个道理,都是先判断域名,如果是代理的域名则进行跳转,代码如下:
<P><?php </P>
<P>if($_SERVER['SERVER_NAME'] != 'xiariboke.com' ||$_SERVER['SERVER_NAME'] != 'www.xiariboke.com' )
{
exit('非法反向代理访问');
}</P>
<P>?></P>
如果是时时代理的话,上面三种方法就已经足够了,但如果他使用了缓存,将代理的网站缓存到他自己的服务器上面,再使用这些就不管用了,因他被他代理的站都不更新了,你再怎么改都不行,尤其现在的阿里云CDN,360CDN又怎么牛,而我的站点使用的就是阿里云CDN,上面有个防止外链,把防外链给开启才解决。
一般的网站CSS,JS调用基本上用的都是绝对路径,所以我们可以重命名CSS,JS的文件包以达到对别人境像网站的控制,把他的页面搞乱,这样相信坚持不了几天,他就会换成其它网站了。
‘陆’ 我装了APACHE和PHP来做网站,index.htm和index.php,如何防止外部直接访问index.php文件呢
打开你apache安装目录conf文件夹里的httpd.conf
找到
DirectoryIndex
index.php
index.html
index.htm
修改
index.php
index.html
index.htm
这一部分,哪个在前哪个就优先。
你也可以设置start.html最优先,或者default.php或main.htm等
如果把index.php去掉,则访问域名不会自动转到index.php。
修改完保存重启apache服务
‘柒’ php通过session防url攻击方法
本文实例讲述了php通过session防url攻击方法。分享给大家供大家参考。具体实现方法如下:
通过session跟踪,可以很方便地避免url攻击的发生,php采用session防url攻击方法代码如下:
复制代码
代码如下:<?php
session_start();
$clean
=
array();
$email_pattern
=
'/^[^@s<&>]+@([-a-z0-9]+.)+[a-z]{2,}$/i';
if
(preg_match($email_pattern,
$_POST['email']))
{
$clean['email']
=
$_POST['email'];
$user
=
$_SESSION['user'];
$new_password
=
md5(uniqid(rand(),
TRUE));
if
($_SESSION['verified'])
{
/*
Update
Password
*/
mail($clean['email'],
'Your
New
Password',
$new_password);
}
}
?>
使用时URL可设置如下:
http://example.org/reset.php?user=php&email=chris%40example.org
如果reset.php信任了用户提供的这些信息,这就是一个语义URL
攻击漏洞,在此情况下,系统将会为php
帐号产生一个新密码并发送至[email protected],这样chris
成功地窃取了php
帐号.
希望本文所述对大家的PHP程序设计有所帮助。
‘捌’ PHP面试题如何防止服务器资源被其他网站盗用,并写出相关代码
得看是什么资源了
1,如果是媒体(图片,声音,视频),则是使用Rewrite的重定向,要实现这个东西很简单,貌似你问问度娘《图片防盗链》就有你看不完的答案了。
2,如果是重要的文件(如配置文件或其它的),那就一定要用 .htaccess文件了。
在.htaccess文件中写入以下代码:
OrderDeny,Allow
Denyfromall
Allowfrom127.0.0.1
只可让本机访问,其它全部拒绝,保存。放到你要设防的目录下。之后,你那目录就安全了
‘玖’ PHP如何实现防盗链详解
本文实例讲述了php简单防盗链实现方法。分享给大家供大家参考。具体如下:
<?php $ADMIN = array( 'defaulturl'=> 'http://blog.qita.in/images/banner-header.gif', //盗链返回的地址 'url_1' => 'http://blog.qita.in/file', 'url_2' => 'http://blog.qita.in/file1', ); $okaysites = array( 'http://qita.in', 'http://blog.qita.in', //白名单 'http://blog.qita.in/1.html', ); $reffer = $_SERVER['HTTP_REFERER']; if ($reffer) { $yes = 0; while (list($domain, $subarray) = each($okaysites)) { if (ereg($subarray, "$reffer")) { $yes = 1; } } $theu = 'url_' . $_GET['site']; $file = $_GET['file']; if ($ADMIN[$theu] and $yes == 1) { header("Location: $ADMIN[$theu]/$file"); } else { header("Location: $ADMIN[defaulturl]"); } } else { header("Location: $ADMIN[defaulturl]"); } print_r($_SERVER['HTTP_REFERER']); ?>
‘拾’ PHP页面如何过滤外链框架中的target
除非你将框架页的TARGET改为动态的,当你要什么状态时,再动态赋值就可以了。