Hight.php完整代码如下：

      ' . mysql_error() . '' );        if (($pass_new == $pass_conf) && ( $result && mysql_num_rows( $result ) == 1 )){            $pass_new = mysql_real_escape_string($pass_new);            $pass_new = md5($pass_new);            $insert="UPDATE `users` SET password = '$pass_new' WHERE user = 'admin';";            $result=mysql_query($insert) or die('
' . mysql_error() . '
' );                                    $html .= "
 Password Changed 
";                    mysql_close();        }            else{                    $html .= "
 Passwords did not match or current password incorrect. 
";                    }    }?>

我们来看看这次他是如何防御CSRF漏洞的。

这次要输入原先的密码然后才可以输入新的密码。

这个属于二次验证。这个是相对现在预防csrf较为有效行之有效的预防措施。这个关卡应该是没办法绕过的。如果大家可以绕过，分享分享姿势哈。