今天我算开了眼,有一个网站,部分源码我发出来，今天亲眼看到大神秒破本地验证！

QQ46613952 · 发表于 2017-9-25 20:19:58

本地验证代码如下，然后这个大神在用谷歌浏览器,在下方可能是操作台上面输入了一个document{}form{}submit 我没看清的这句代码，我不知道他在哪里用的，我想请问大神有懂的么？代码大概是这样的 var postmaxchars = 50;
	function lphychknum(strnumber)
	{
	lphypar=/^\d{1,6}(\.\d{1,4})?$/
	return lphypar.test(strnumber);
	}
	function lphychktel(strnumber)
	{
	lphypar=/^(\d){2,4}([-]{0,1})(\d){5,9}(,(\d){2,4}([-]{0,1})(\d){5,9})*$/;
	return lphypar.test(strnumber);
	}
	function checkradio(lphyobj) {
	var i;
	for(i=0;i<lphyobj.length;i++){
	if(lphyobj.checked){
	return true;
	}
	};
	return false;
	}

	function validate(theform) {
	if (theform.housearea.options[theform.housearea.selectedIndex].value==0 \|\| theform.housearea.options[theform.housearea.selectedIndex].value=="") {
	alert("请选择区域！");
	return false;
	} else if (theform.housemodel.options[theform.housemodel.selectedIndex].value==0 \|\| theform.housemodel.options[theform.housemodel.selectedIndex].value=="") {
	alert("请选择户型！");
	return false;
	} else if (!checkradio(theform.housetype)) {
	alert("请选择房屋类型！");
	return false;
	} else if (!checkradio(theform.fitment)) {
	alert("请选择装修程度！");
	return false;
	} else if (theform.houseaddr.value == "" \|\| theform.buildarea.value == "" \|\| theform.buyprice.value == "" \|\| theform.linkman.value == "" \|\| theform.telephone.value == "") {
	alert("房产位置、房屋面积、价格、联系人及联系电话不能为空！");
	return false;
	} else if (theform.houseaddr.value.length > 30 ) {
	alert("房产位置太长！");
	return false;
	} else if (theform.housename.value.length > 30 ) {
	alert("小区名称太长！");
	return false;
	} else if (lphytitlechk(theform.houseaddr.value)) {
	alert("房产位置不能包含特殊字符！");
	return false;
	} else if (!lphychknum(theform.buildarea.value)\|\|!lphychknum(theform.buyprice.value)) {
	alert("房屋面积和价格只能为数字且小数位数不超过4位！");
	return false;
	} else if (theform.buildarea.value.length > 8 \|\| theform.buyprice.value.length > 8) {
	alert("房屋面积或价格太长！");
	return false;
	} else if (theform.linkman.value.length > 18) {
	alert("联系人太长！");
	return false;
	} else if (theform.telephone.value.length > 30) {
	alert("联系电话太长！");
	return false;
	} else if (!lphychktel(theform.telephone.value)) {
	alert("电话号码格式不对，多个号码请用英文逗号隔开！");
	return false;
	} else if (theform.linkaddr.value.length > 30) {
	alert("其他联系方式太长！");
	return false;
	}
	if (theform.housenum)
	{
	if (theform.housenum.value.length > 18 ) {
	alert("房源编号太长！");
	return false;
	}
	}
	if (postmaxchars != 0 && theform.otherequip.value.length > postmaxchars) {
	alert("其他说明太长！\n\n当前长度: "+theform.otherequip.value.length+" 字节\n系统要求：小于 "+postmaxchars+" 字节");
	return false;
	}
	theform.topicsubmit.disabled = true;
	return true;
	}
	function lphyaddmap(){
	var lphyhtml='<br><iframe frameborder="0" scrolling="no" width="510px" height="342px" src="map/add_map.htm" class="top10"></iframe>';
	if(document.getElementById('lphymapdiv').innerHTML=='')
	{
	document.getElementById('lphymapdiv').innerHTML=lphyhtml;
	}else{
	document.getElementById('lphymapdiv').innerHTML='';
	}
	}

QQ46613952 · 发表于 2018-7-3 17:04:33

b11121012 发表于 2018-7-2 15:26
在前台能够跳过的验证，说明这个站的后端没做验证，否则这句代码不可能破得了

对的现在我向网站管理员反应这个问题了已经修复；

b11121012 · 发表于 2018-7-2 15:26:55

在前台能够跳过的验证，说明这个站的后端没做验证，否则这句代码不可能破得了

QQ46613952 · 发表于 2017-12-26 12:26:00

晴雯晴雯发表于 2017-9-25 21:00
本地验证那些长度是不是够，最后如果都验证通过就 form.submit表单提交，直接在控制台调用这个函数之前的 ...

嗯嗯是的我最后自己通过学习研究出来了大概为document.forms 和你说的差不多如果后台验证是不是就没有办法了？

QQ46613952 · 发表于 2017-9-26 08:54:16

晴雯晴雯发表于 2017-9-25 21:00
本地验证那些长度是不是够，最后如果都验证通过就 form.submit表单提交，直接在控制台调用这个函数之前的 ...

嗯他确实是在控制台调用的但是不知道怎么弄的大神有方便加下QQ帮我研究下么他好像是在上传图片的地方注入的函数的

晴雯晴雯 · 发表于 2017-9-25 21:00:32

本地验证那些长度是不是够，最后如果都验证通过就 form.submit表单提交，直接在控制台调用这个函数之前的就不用验证了。
这个验证方法还需要和后台验证一起使用才有效，更重要的是后台验证。如果只是前台验证的话不安全。

		自动登录	找回密码
密码			注册

[js/PHP求助] 今天我算开了眼,有一个网站,部分源码我发出来，今天亲眼看到大神秒破本地验证！