在PHP中如何生成和验证CSRF令牌

avatar
作者
猴君
阅读量:0

在 PHP 中,生成和验证 CSRF 令牌可以通过以下步骤完成:

  1. 生成 CSRF 令牌

为了生成一个 CSRF 令牌,你需要创建一个唯一的随机字符串。这可以使用 PHP 的内置函数 bin2hex()random_bytes() 来实现。将生成的令牌存储在用户的会话中,以便稍后进行验证。

session_start();  if (!isset($_SESSION['csrf_token'])) {     $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); } 
  1. 将 CSRF 令牌添加到表单中

将生成的 CSRF 令牌添加到 HTML 表单中,以便在提交表单时将其发送回服务器。可以将令牌作为隐藏字段包含在表单中。

<form action="submit.php" method="post">     <!-- 其他表单字段 -->    <input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">    <input type="submit" value="提交"> </form> 
  1. 验证 CSRF 令牌

当用户提交表单时,需要检查提交的令牌是否与会话中存储的令牌匹配。这可以确保只有合法的请求才能被处理。

在表单提交的处理脚本(在本例中为 submit.php)中,执行以下操作:

session_start();  if (isset($_POST['csrf_token']) && hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {     // 验证成功,处理表单数据 } else {     // 验证失败,显示错误消息或处理错误     echo "Invalid CSRF Token!"; } 

hash_equals() 函数用于比较两个字符串,避免了它们在比较过程中可能出现的时序攻击。

通过以上方法,你可以在 PHP 应用程序中生成和验证 CSRF 令牌,从而提高应用程序的安全性。

广告一刻

为您即时展示最新活动产品广告消息,让您随时掌握产品活动新动态!