PHP安全代码POST方式提交数据

function submitcheck($var) {
    if(!empty($_POST[$var]) && $_SERVER['REQUEST_METHOD'] == 'POST') {
        if((empty($_SERVER['HTTP_REFERER']) || 
preg_replace("/https?:\/\/([^\:\/]+).*/i", "\\1", $_SERVER['HTTP_REFERER']) == preg_replace("/([^\:]+).*/", "\\1", $_SERVER['HTTP_HOST'])) 
&& $_POST['formhash'] == formhash()) {
            return true;
        } else {
            showmessage('submit_invalid');
        }
    } else {
        return false;
    }
}

1.在客户端加入formhash表单防伪码

<input type="hidden" value="71afa49c" name="formhash">

2.确保HTTP_REFERER为空（HTTP_REFERER是当前提交页面的来源页面的地址）

或者确保来源页面的域名与当前提交页面的域名一致。