php教程

為什麼我的 CSRF 令牌在 AJAX 和標準表單中使用時有時為空，如何在 PHP 中修復此問題？

Linda Hamilton

Dec 14, 2024 pm 08:46 PM

Why are my CSRF tokens sometimes empty when used in AJAX and standard forms, and how can I fix this in PHP?

在PHP 中使用正確的CSRF 令牌實作來保護表單

問題：

< ;p>當嘗試將CSRF 令牌新增至兩種不同的表單時，其中一種使用AJAX 和其他基本聯絡表單，觀察到HTML中的令牌值偶爾為空。如何解決這個問題？

答案：

問題可能源自於令牌產生方法，因為所提供的程式碼是容易受到預測和缺乏熵的影響。此方法對於一次性使用和每次表單令牌驗證也是不夠的。

產生強CSRF 令牌：

將令牌產生替換為安全PHP 7 或PHP 5.3 的方法：

PHP 7

session_start();
if (empty($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));

}
$token = $_SESSION['token'];

PHP 5.3（或使用ext-mcrypt）

session_start();
if ($($_SESSION['令牌'])) {

if (function_exists('mcrypt_create_iv')) {
    $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}

}
$token = $_SESSION['token'];

驗證CSRF 令牌：

使用hash_equals() 驗證令牌安全地：

if (hash_equals($_SESSION['token'], $_POST['token'])) {
     // Proceed to process the form data
} else {
     // Log this as a warning and keep an eye on these attempts
}

if (!empty($_POST['token'])) {

}

Per -表單令牌限制：

進一步限制將代幣轉換為特定形式，請使用hash_hmac():

echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);

new \Twig_SimpleFunction( 'form_token', function($lock_to = null) { if (empty($_SESSION['token'])) { $_SESSION['token'] = bin2hex(random_bytes(32)); } if (empty($_SESSION['token2'])) { $_SESSION['token2'] = random_bytes(32); } if (empty($lock_to)) { return $_SESSION['token']; } return hash_hmac('sha256', $lock_to, $_SESSION['token2']); } )$twigEnv->addFunction(

);

使用此函數，安全通用令牌可以用作：

<輸入型別=「隱藏」名稱=「令牌」 value=" form_token>

雖然可以使用下列方式產生每個表單令牌：

一次性CSRF 令牌： h2>對於一次性使用令牌要求，請考慮使用專用庫，例如來自Paragon Initiative Enterprises 的反CSRF 庫。

以上是為什麼我的 CSRF 令牌在 AJAX 和標準表單中使用時有時為空，如何在 PHP 中修復此問題？的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

高流量網站的PHP性能調整May 14, 2025 am 12:13 AM

TheSecretTokeEpingAphp-PowerEdwebSiterUnningSmoothlyShyunderHeavyLoadInVolvOLVOLVOLDEVERSALKEYSTRATICES：1）emplactopCodeCachingWithOpcachingWithOpCacheToreCescriptexecution Time，2）使用atabasequercachingCachingCachingWithRedataBasEndataBaseLeSendataBaseLoad，3）

PHP中的依賴注入：初學者的代碼示例May 14, 2025 am 12:08 AM

你應該關心DependencyInjection(DI)，因為它能讓你的代碼更清晰、更易維護。 1)DI通過解耦類，使其更模塊化，2)提高了測試的便捷性和代碼的靈活性，3)使用DI容器可以管理複雜的依賴關係，但要注意性能影響和循環依賴問題，4)最佳實踐是依賴於抽象接口，實現鬆散耦合。

PHP性能：是否可以優化應用程序？May 14, 2025 am 12:04 AM

是的，優化papplicationispossibleandessential.1）empartcachingingcachingusedapcutorediucedsatabaseload.2）優化的atabaseswithexing，高效Quereteries，and ConconnectionPooling.3）EnhanceCodeWithBuilt-unctions，避免使用，避免使用ingglobalalairaiables，並避免使用

PHP性能優化：最終指南May 14, 2025 am 12:02 AM

theKeyStrategiestosigantificallyBoostPhpaPplicationPerformenCeare：1）UseOpCodeCachingLikeLikeLikeLikeLikeCacheToreDuceExecutiontime，2）優化AtabaseInteractionswithPreparedStateTementStatementStatementAndProperIndexing，3）配置

PHP依賴注入容器：快速啟動May 13, 2025 am 12:11 AM

aphpdepentioncontiveContainerIsatoolThatManagesClassDeptions，增強codemodocultion，可驗證性和Maintainability.itactsasaceCentralHubForeatingingIndections，因此reducingTightCightTightCoupOulplingIndeSingantInting。

PHP中的依賴注入與服務定位器May 13, 2025 am 12:10 AM

選擇DependencyInjection(DI)用於大型應用，ServiceLocator適合小型項目或原型。 1)DI通過構造函數注入依賴，提高代碼的測試性和模塊化。 2)ServiceLocator通過中心註冊獲取服務，方便但可能導致代碼耦合度增加。

PHP性能優化策略。May 13, 2025 am 12:06 AM

phpapplicationscanbeoptimizedForsPeedAndeffificeby：1）啟用cacheInphp.ini，2）使用preparedStatatementSwithPdoforDatabasequesies，3）3）替換loopswitharray_filtaray_filteraray_maparray_mapfordataprocrocessing，4）conformentnginxasaseproxy，5）