Bagaimana Saya Boleh Melindungi Borang Web Saya Terhadap Serangan CSRF Menggunakan PHP?-tutorial php-php.cn

Rumah

pembangunan bahagian belakang

tutorial php

Bagaimana Saya Boleh Melindungi Borang Web Saya Terhadap Serangan CSRF Menggunakan PHP?

Linda Hamilton

Dec 09, 2024 am 05:37 AM

How Can I Secure My Web Forms Against CSRF Attacks Using PHP?

Melindungi Borang Web Menggunakan Token CSRF: Panduan Komprehensif dengan Contoh PHP

Pemalsuan permintaan merentas tapak (CSRF) ialah teknik serangan berniat jahat yang mengeksploitasi kelemahan web untuk melakukan tindakan yang tidak dibenarkan bagi pihak pengguna. Untuk melindungi tapak web anda daripada CSRF, melaksanakan mekanisme token yang teguh adalah penting. Artikel ini menyediakan panduan terperinci tentang menambah token CSRF menggunakan PHP, menangani cabaran yang dihadapi dalam proses.

Menjana Token Selamat

Apabila menjana token CSRF, adalah penting untuk digunakan sumber rawak yang boleh dipercayai untuk mengelakkan kebolehramalan dan memastikan entropi yang mencukupi. PHP 7 menawarkan fungsi random_bytes(), manakala PHP 5.3 boleh menggunakan mcrypt_create_iv() atau openssl_random_pseudo_bytes() untuk tujuan ini. Elakkan kaedah yang terdedah seperti rand() atau md5().

Contoh untuk PHP 7:

if (empty($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];

Contoh untuk PHP 5.3 (atau dengan ext- mcrypt):

if (empty($_SESSION['token'])) {
    if (function_exists('mcrypt_create_iv')) {
        $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
    } else {
        $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
    }
}
$token = $_SESSION['token'];

Menyepadukan dengan Borang

Dalam borang HTML anda, sertakan medan input untuk membawa token CSRF yang dijana dengan selamat ke pelayan:

<input type="hidden" name="token" value="<?php echo $token; ?>">

Pengesahan Token

Apabila borang diserahkan, sahkan token yang diserahkan dengan yang disimpan dalam sesi:

if (!empty($_POST['token'])) {
    if (hash_equals($_SESSION['token'], $_POST['token'])) {
         // Proceed to process the form data
    } else {
         // Log this as a warning and keep an eye on these attempts
    }
}

Token Per-Borang dan HMAC

Untuk keselamatan tambahan, pertimbangkan untuk menggunakan token per-borang. Hasilkan kunci HMAC yang berasingan dan gunakan hash_hmac() untuk mengunci token CSRF kepada bentuk tertentu.

$calc = hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
if (hash_equals($calc, $_POST['token'])) {
    // Continue...
}

Pendekatan Hibrid dengan Twig

Pengguna Twig boleh memanfaatkan fungsi tersuai untuk menjana kedua-dua umum dan terkunci token:

{{ form_token() }}
{{ form_token('/my_form.php') }}

Token CSRF Guna Tunggal

Untuk senario yang memerlukan token sekali guna, pertimbangkan untuk menggunakan perpustakaan luaran, seperti Paragon Initiative Enterprises' Anti- Pustaka CSRF, yang menguruskan penebusan dan tamat tempoh token.

Dengan melaksanakan teknik ini, anda boleh melindungi tapak web anda dengan berkesan daripada serangan CSRF dan memastikan integriti interaksi pengguna.

Atas ialah kandungan terperinci Bagaimana Saya Boleh Melindungi Borang Web Saya Terhadap Serangan CSRF Menggunakan PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Apakah perbezaan antara masa tamat sesi mutlak dan terbiar?May 03, 2025 am 12:21 AM

Timeout sesi mutlak bermula pada masa penciptaan sesi, sementara waktu tamat sesi terbiar bermula pada masa operasi pengguna. Tamat masa sesi mutlak sesuai untuk senario di mana kawalan ketat kitaran hayat sesi diperlukan, seperti aplikasi kewangan; Timeout sesi terbiar sesuai untuk aplikasi yang mahu pengguna menyimpan sesi mereka aktif untuk masa yang lama, seperti media sosial.

Apakah langkah yang akan anda ambil jika sesi tidak berfungsi di pelayan anda?May 03, 2025 am 12:19 AM

Kegagalan sesi pelayan boleh diselesaikan dengan mengikuti langkah -langkah: 1. Semak konfigurasi pelayan untuk memastikan sesi ditetapkan dengan betul. 2. Sahkan kuki klien, sahkan bahawa penyemak imbas menyokongnya dan hantar dengan betul. 3. Periksa perkhidmatan penyimpanan sesi, seperti Redis, untuk memastikan bahawa mereka beroperasi secara normal. 4. Semak kod aplikasi untuk memastikan logik sesi yang betul. Melalui langkah -langkah ini, masalah perbualan dapat didiagnosis dengan berkesan dan diperbaiki dan pengalaman pengguna dapat diperbaiki.

Apakah kepentingan fungsi session_start ()?May 03, 2025 am 12:18 AM

session_start () iscrucialinphpformanaginguserSessions.1) itinitiatesanewsessionifnoneexists, 2) resumeSanexistingsession, dan3) setSasessionCookieforcontinuityAcrossrequests, enableingApplicationeUseUshenticationandPersonalConizedConizedContentContentContentContentContentContentContentContentContentContentContentC.

Apakah kepentingan menetapkan bendera httponly untuk cookies sesi?May 03, 2025 am 12:10 AM

Menetapkan bendera httponly adalah penting untuk cookies sesi kerana ia dapat mencegah serangan XSS dengan berkesan dan melindungi maklumat sesi pengguna. Khususnya, 1) bendera httponly menghalang JavaScript daripada mengakses kuki, 2) bendera boleh ditetapkan melalui setcookies dan make_response dalam php dan flask, 3) walaupun ia tidak dapat dicegah dari semua serangan, ia harus menjadi sebahagian daripada dasar keselamatan keseluruhan.

Masalah apa yang diselesaikan oleh sesi php dalam pembangunan web?May 03, 2025 am 12:02 AM

PhpsSesionssolveThublemofMainTainStateAsmultipHttprequestsByStoringDataontheserverArverArsociatingWithauniquesession.1) merekaSTOREdataServer-sisi, biasanya

Data apa yang boleh disimpan dalam sesi PHP?May 02, 2025 am 12:17 AM

Phpsessionscanstorestrings, nombor, tatasusunan, andobjects.1.strings: textdatalikeusernames.2.numbers: integersorfloatsforcounters.3.Arrays: ListsLikeshoppingCarts.4.Objects: complextructureSturesthatareserialized.

Bagaimana anda memulakan sesi PHP?May 02, 2025 am 12:16 AM

Tostartaphpsession, usesession_start () atthescript'sbeginning.1) placeitbeforeanyoutputtosetthesessioncookie.2) usesessionsforusererdatalikeloginstatusorshoppingcarts.3)

Apakah regenerasi sesi, dan bagaimanakah ia meningkatkan keselamatan?May 02, 2025 am 12:15 AM

Penjanaan semula sesi merujuk kepada menjana ID sesi baru dan membatalkan ID lama apabila pengguna melakukan operasi sensitif dalam kes serangan tetap sesi. Langkah-langkah pelaksanaan termasuk: 1. Mengesan Operasi Sensitif, 2. Menjana ID Sesi Baru, 3. Memusnahkan ID Sesi Lama, 4. Kemas kini maklumat sesi pengguna.

See all articles