Bagaimana untuk Melaksanakan Token CSRF dengan Selamat dalam PHP?

Cara Melaksanakan Token CSRF dalam PHP: Panduan Komprehensif

Menggunakan Bait Rawak untuk Penjanaan Token Kuat

Dalam konteks penjanaan token CSRF, menggunakan rand() dan uniqid() menimbulkan risiko keselamatan kerana kebolehramalan dan entropi terhad. Sebaliknya, pilih untuk:

session_start();
if (empty($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];

Mengesahkan Token CSRF Dengan Selamat

Elakkan menggunakan semakan kesaksamaan langsung (== atau ===). Sebaliknya, gunakan hash_equals() untuk PHP 5.6 atau paragonie/hash-compat untuk versi terdahulu:

if (!empty($_POST['token'])) {
    if (hash_equals($_SESSION['token'], $_POST['token'])) {
         // Proceed to form data processing
    } else {
         // Log and monitor these attempts
    }
}

Meningkatkan Keselamatan dengan Token Per-Borang

Untuk menyekat token kepada bentuk tertentu, gunakan hash_hmac():

echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);

$calc = hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
if (hash_equals($calc, $_POST['token'])) {
    // Continue...
}

Pendekatan Hibrid untuk Kesederhanaan

Dengan templat Twig, anda boleh memudahkan penjanaan token menggunakan fungsi Twig tersuai:

$twigEnv->addFunction(
    new \Twig_SimpleFunction(
        'form_token',
        function($lock_to = null) { // ... }
    )
);

<input type="hidden" name="token" value="{{ form_token() }}" />

Atau, untuk dikunci token:

<input type="hidden" name="token" value="{{ form_token('/my_form.php') }}" />

Token CSRF Guna Tunggal

Jika perlu, pertimbangkan untuk menggunakan perpustakaan khusus untuk mengurus token CSRF sekali guna, seperti Anti-CSRF Perpustakaan oleh Paragon Initiative Enterprises.

Atas ialah kandungan terperinci Bagaimana untuk Melaksanakan Token CSRF dengan Selamat dalam PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!