異なるドメインのフォーム経由で投稿データからスクリプトを保護する

Question

別のドメインから送信された投稿データからスクリプトを保護するにはどうすればよいですか？ IEの場合、$ _POSTから受け取ったID番号のmysqlレコードを削除するというスクリプトに投稿番号を送信するフォームがあるとしますか？

私のドメインがある場合：

billmalarky.com

と私のスクリプトは次の場所にあります。誰かがHTMLを作成する場合、どのよう

billmalarky.com/script/deletemysqlrecord.php

hacker.comのフォームには、

アクション= "http://billmalarky.com/script/deletemysqlrecord.php"

そして、私のすべてのレコードを削除するために、1ポンドのリクエストを送信し始めます（ほんの一例）。

みんなありがとう、 Billmalarky

Answer 1

はい、それはあなたが隠しフィールドを持っており、それがセッションに保存された乱数

例

` $のランド=ランドを与える必要があります

CSRF

と呼ばれます（ ）; $ hidden = $ _SESSION ['hidden'] = $ rand;

と入力フィールドに、あなたは '/> `

を

を追加することができ、あなたのPhphファイルであなたが送信された提出隠され

に関して隠されたセッションcallesでそれを確認するチェックSHOLD削除