ネットワーク技術の継続的な発展に伴い、ネットワーク アプリケーション開発においてセキュリティの問題はますます無視できない問題になってきています。中でもクロスサイト リクエスト フォージェリ (CSRF) 攻撃は一般的な攻撃手法であり、その主な目的は、ユーザーがブラウザ内で悪意のあるリクエストを開始できるようにすることで、ユーザーを利用してバックグラウンドで不正なリクエストを開始させることです。 Web サイトにログインしているため、サーバー側のセキュリティの脆弱性が生じます。 PHP アプリケーションでは、フォーム検証の使用は CSRF 攻撃を防ぐ効果的な手段です。
- CSRF トークンの検証に参加
CSRF 攻撃は主にログイン ユーザーの ID を使用してリモート攻撃を実行するため、この攻撃方法に対する最も直接的な保護は追加です。ページ データとフォームにいくつかの型破りな値を追加し、各フォーム リクエストの送信を 1 回のみに制限します。これらの値は CSRF トークンであり、フォーム送信時の ID 情報が合法かどうかを検証するために使用されます。バックグラウンドでフォーム送信を処理する場合、トークンを検証する必要があり、事前に設定されたトークンと一致する場合にのみ、リクエストの処理を続行できます。
サンプル コードは次のとおりです。
// 生成Token值,通常可以在session中设置 session_start(); $token = md5(uniqid(mt_rand(), true)); $_SESSION['csrf_token'] = $token; // 应用到表单中 <input type="hidden" name="csrf_token" value="<?=$_SESSION['csrf_token']?>"/>
フォーム送信の場合、次のようにデータを処理する前にトークンの検証が必要です。
// 获取表单提交的Token
$submittedToken = $_POST['csrf_token'];
// 验证Token是否合法
if (!isset($_SESSION['csrf_token']) || $submittedToken !== $_SESSION['csrf_token']) {
die('Token validation failed, request denied');
}上記のコードでは、次のように使用します。 PHP のセッション メカニズムは、重複しないランダムなトークン値を生成し、セッションに保存します。フォームでは、トークン値を非表示フィールドのフィールドとしてバックグラウンドに渡し、フォームの送信時にトークン値をサーバーに送信できるようにする必要があります。サーバー側では、リクエストされたトークンの値を確認する必要があり、送信されたトークンが事前定義されたトークンと一致しない場合、リクエストは拒否される必要があります。
- リファラー ポリシー ヘッダーの構成
リファラー ポリシーは、サードパーティ サイトにリクエストを送信するときにブラウザーにリファラー フィールドを含めるかどうかを制御するために使用される HTTP ヘッダーです。フォーム処理中に不正なリファラーフィールドに対するリクエストを直接拒否すると、CSRF 攻撃を効果的に防御できます。
PHP では、次のコードを使用して Referrer Policy ヘッダーを設定できます。
header('Referrer-Policy: no-referrer');上記のコードは、リクエストの送信時に Referrer ヘッダー情報を含めないようブラウザーに指示します。このようにして、攻撃者が Referrer ヘッダーを偽造して CSRF 攻撃を実行しようとしても、ブラウザーによって拒否され、リクエストはサーバーに送信されません。
- 「検証コード」または「パスワード」認証をフォームに追加します
CSRF トークンをフォームに追加することに加えて、追加の検証コードまたはパスワードを追加することもできます。 、など。フォームのセキュリティを強化し、CSRF 攻撃を防ぐための認証方法。この方法は比較的面倒ですが、攻撃者がどのようにサーバーを欺こうとしても、追加の認証リンクを経由する必要があり、攻撃がより困難になるため、非常に効果的です。
- フォームの送信には GET メソッドの使用を避ける
CSRF 攻撃は主に GET リクエストを通じて開始されるため、フォームでのデータの送信に GET メソッドの使用を避けるよう努めています。形状。 GET メソッドを使用する必要がある場合は、フォームのセキュリティを強化するためにトークン値またはその他の認証方法をフォームに追加する必要があります。
つまり、CSRF 攻撃の防止は、PHP アプリケーション開発において注意を払わなければならない課題です。トークン値、リファラー ポリシー ヘッダー、検証コードなどのさまざまなセキュリティ メカニズムを合理的に使用することで、CSRF 攻撃の脅威からアプリケーションを効果的に保護できます。同時に、最新のネットワークセキュリティ問題や攻撃手法にも引き続き注意を払い、セキュリティ対策を迅速に更新・改善していく必要があります。
以上がPHP フォームを使用して CSRF 攻撃を防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
PHPおよびPython:さまざまなパラダイムが説明されていますApr 18, 2025 am 12:26 AMPHPは主に手順プログラミングですが、オブジェクト指向プログラミング(OOP)もサポートしています。 Pythonは、OOP、機能、手続き上のプログラミングなど、さまざまなパラダイムをサポートしています。 PHPはWeb開発に適しており、Pythonはデータ分析や機械学習などのさまざまなアプリケーションに適しています。
PHPとPython:彼らの歴史を深く掘り下げますApr 18, 2025 am 12:25 AMPHPは1994年に発信され、Rasmuslerdorfによって開発されました。もともとはウェブサイトの訪問者を追跡するために使用され、サーバー側のスクリプト言語に徐々に進化し、Web開発で広く使用されていました。 Pythonは、1980年代後半にGuidovan Rossumによって開発され、1991年に最初にリリースされました。コードの読みやすさとシンプルさを強調し、科学的コンピューティング、データ分析、その他の分野に適しています。
PHPとPythonの選択:ガイドApr 18, 2025 am 12:24 AMPHPはWeb開発と迅速なプロトタイピングに適しており、Pythonはデータサイエンスと機械学習に適しています。 1.PHPは、単純な構文と迅速な開発に適した動的なWeb開発に使用されます。 2。Pythonには簡潔な構文があり、複数のフィールドに適しており、強力なライブラリエコシステムがあります。
PHPとフレームワーク:言語の近代化Apr 18, 2025 am 12:14 AMPHPは、多数のWebサイトとアプリケーションをサポートし、フレームワークを通じて開発ニーズに適応するため、近代化プロセスで依然として重要です。 1.PHP7はパフォーマンスを向上させ、新機能を紹介します。 2。Laravel、Symfony、Codeigniterなどの最新のフレームワークは、開発を簡素化し、コードの品質を向上させます。 3.パフォーマンスの最適化とベストプラクティスは、アプリケーションの効率をさらに改善します。
PHPの影響:Web開発などApr 18, 2025 am 12:10 AMphphassiblasifly-impactedwebdevevermentandsbeyondit.1)itpowersmajorplatformslikewordpratsandexcelsindatabase interactions.2)php'sadaptableability allowsitale forlargeapplicationsusingframeworkslikelavel.3)
スカラータイプ、リターンタイプ、ユニオンタイプ、ヌル可能なタイプなど、PHPタイプのヒントはどのように機能しますか?Apr 17, 2025 am 12:25 AMPHPタイプは、コードの品質と読みやすさを向上させるためのプロンプトがあります。 1)スカラータイプのヒント:php7.0であるため、基本データ型は、int、floatなどの関数パラメーターで指定できます。 3)ユニオンタイプのプロンプト:PHP8.0であるため、関数パラメーターまたは戻り値で複数のタイプを指定することができます。 4)Nullable Typeプロンプト:null値を含めることができ、null値を返す可能性のある機能を処理できます。
PHPは、オブジェクトのクローニング(クローンキーワード)と__Clone Magicメソッドをどのように処理しますか?Apr 17, 2025 am 12:24 AMPHPでは、クローンキーワードを使用してオブジェクトのコピーを作成し、\ _ \ _クローンマジックメソッドを使用してクローン動作をカスタマイズします。 1.クローンキーワードを使用して浅いコピーを作成し、オブジェクトのプロパティをクローン化しますが、オブジェクトのプロパティはクローニングしません。 2。\ _ \ _クローン法は、浅いコピーの問題を避けるために、ネストされたオブジェクトを深くコピーできます。 3.クローニングにおける円形の参照とパフォーマンスの問題を避けるために注意し、クローニング操作を最適化して効率を向上させます。
PHP対Python:ユースケースとアプリケーションApr 17, 2025 am 12:23 AMPHPはWeb開発およびコンテンツ管理システムに適しており、Pythonはデータサイエンス、機械学習、自動化スクリプトに適しています。 1.PHPは、高速でスケーラブルなWebサイトとアプリケーションの構築においてうまく機能し、WordPressなどのCMSで一般的に使用されます。 2。Pythonは、NumpyやTensorflowなどの豊富なライブラリを使用して、データサイエンスと機械学習の分野で驚くほどパフォーマンスを発揮しています。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
DVWA
Damn Vulnerable Web App (DVWA) は、非常に脆弱な PHP/MySQL Web アプリケーションです。その主な目的は、セキュリティ専門家が法的環境でスキルとツールをテストするのに役立ち、Web 開発者が Web アプリケーションを保護するプロセスをより深く理解できるようにし、教師/生徒が教室環境で Web アプリケーションを教え/学習できるようにすることです。安全。 DVWA の目標は、シンプルでわかりやすいインターフェイスを通じて、さまざまな難易度で最も一般的な Web 脆弱性のいくつかを実践することです。このソフトウェアは、
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
メモ帳++7.3.1
使いやすく無料のコードエディター
