网站开放注册的时候有一些渣渣就喜欢乱搞我们的网站。使我们站长们 都是蛋疼无比。所以就去百度找了找防止恶意注册。一般都是加验证码。但是会网页的人一般都是在你的要提交的那个页面利用url传参数。在写入数据的文件没有写好 就很容易被利用了! 所以我得出了2个解决方法
例子、
1.在提交的时候获取客户端IP 在IP第二次访问或者第三次提交数据的时候视为恶意提交
2.使用session访问2次或者3次 视为恶意注册
以下是代码:
代码如下 |
复制代码 |
$cs = $_SESSION['cs'] = $_SESSION['cs']+1;//每访问一次加1
$sql = "INSERT INTO ".$DB_PREFIX."user (username,password,nickname,role,photo,email,description) VALUES ('$username','$password','$user_namex','writer','','$name_mailbox','')";
if($cs < "2"){//页面被反复刷新的时候 不执行代码
if( mysql_query($sql) == 1){?>
|
当然这个办法也不是很好的。但是目前就感觉这个比较好了
例子、
比较高级的办法RSA算法进行加密通讯 .
avascript部分代码(with jQuery)
代码如下 |
复制代码 |
$(document).ready(function(){
//十六进制公钥
var rsa_n = "C34E069415AC02FC4EA5F45779B7568506713E9210789D527BB89EE462662A1D0E94285E1A764F111D553ADD7C65673161E69298A8BE2212DF8016787E2F4859CD599516880D79EE5130FC5F8B7F69476938557CD3B8A79A612F1DDACCADAA5B6953ECC4716091E7C5E9F045B28004D33548EC89ED5C6B2C64D6C3697C5B9DD3";
$("#submit").click(function(){
setMaxDigits(131); //131 => n的十六进制位数/2+3
var key = new RSAKeyPair("10001", '', rsa_n); //10001 => e的十六进制
var password = $("#password").val();
password = encryptedString(key, password); //不支持汉字
$("#password").val(password);
$("#login").submit();
alert(password); //test
});
});
|
PHP部分代码
代码如下 |
复制代码 |
/**
* 公钥加密
* www.111Cn.net
* @param string 明文
* @param string 证书文件(.crt)
* @return string 密文(base64编码)
*/
function publickey_encodeing($sourcestr, $fileName)
{
$key_content = file_get_contents($fileName);
$pubkeyid = openssl_get_publickey($key_content);
if (openssl_public_encrypt($sourcestr, $crypttext, $pubkeyid))
{
return base64_encode("".$crypttext);
}
}
/**
* 私钥解密
*
* @param string 密文(二进制格式且base64编码)
* @param string 密钥文件(.pem / .key)
* @param string 密文是否来源于JS的RSA加密
* @return string 明文
*/
function privatekey_decodeing($crypttext, $fileName, $fromjs = FALSE)
{
$key_content = file_get_contents($fileName);
$prikeyid = openssl_get_privatekey($key_content);
$crypttext = base64_decode($crypttext);
$padding = $fromjs ? OPENSSL_NO_PADDING : OPENSSL_PKCS1_PADDING;
if (openssl_private_decrypt($crypttext, $sourcestr, $prikeyid, $padding))
{
return $fromjs ? rtrim(strrev($sourcestr), "/0") : "".$sourcestr;
}
return ;
}
//JS->PHP 测试
$txt_en = $_POST['password'];
$txt_en = base64_encode(pack("H*", $txt_en));
$file = 'ssl/server.pem';
$txt_de = privatekey_decodeing($txt_en, $file, TRUE);
var_dump($txt_de);
//PHP->PHP 测试 www.111com.net
$data = "汉字:1a2b3c";
$config = Core::getInstance()->config;
$file1 = 'ssl/server.crt';
$file2 = 'ssl/server.pem';
$a = publickey_encodeing($data, $file1);
$b = privatekey_decodeing($a, $file2);
var_dump($b);
|
其中密钥的获取是关键(其他难点已经被从代码中解决)