在 PHP 中使用正确的 CSRF 令牌实施来保护表单
问题:
< ;p>当尝试将 CSRF 令牌添加到两种不同的表单时,其中一种使用AJAX 和其他基本联系表单,观察到 HTML 中的令牌值偶尔为空。如何解决这个问题?
答案:
问题可能源于令牌生成方法,因为提供的代码是容易受到预测和缺乏熵的影响。此方法对于一次性使用和每次表单令牌验证也是不够的。
生成强 CSRF 令牌:
将令牌生成替换为安全PHP 7 或 PHP 5.3 的方法:
PHP 7
session_start();
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];
PHP 5.3(或使用 ext-mcrypt)
session_start();
if (空($_SESSION['令牌'])) {
if (function_exists('mcrypt_create_iv')) {
$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
}
$token = $_SESSION['token'];
验证 CSRF 令牌:
使用 hash_equals() 验证令牌安全地:
if (!empty($_POST['token'])) {
if (hash_equals($_SESSION['token'], $_POST['token'])) {
// Proceed to process the form data
} else {
// Log this as a warning and keep an eye on these attempts
}
}
Per -表单令牌限制:
进一步限制将令牌转换为特定形式,请使用 hash_hmac():
echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
?> ;” />
与 Twig 集成的混合方法:
对于那些使用 Twig 模板的人,可以使用简化的双重策略实现:
$twigEnv->addFunction(
new \Twig_SimpleFunction(
'form_token',
function($lock_to = null) {
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if (empty($_SESSION['token2'])) {
$_SESSION['token2'] = random_bytes(32);
}
if (empty($lock_to)) {
return $_SESSION['token'];
}
return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
}
));
使用此函数,安全通用令牌可以用作:
<输入类型=“隐藏”名称=“令牌” value=" form_token>
虽然可以使用以下方式生成每个表单令牌:
一次性 CSRF 令牌:
对于一次性使用令牌要求,请考虑使用专用库,例如来自 Paragon Initiative Enterprises 的反 CSRF 库。
以上是为什么我的 CSRF 令牌在 AJAX 和标准表单中使用时有时为空,如何在 PHP 中修复此问题?的详细内容。更多信息请关注PHP中文网其他相关文章!
如何使PHP应用程序更快May 12, 2025 am 12:12 AMtomakephpapplicationsfaster,关注台词:1)useopcodeCachingLikeLikeLikeLikeLikePachetoStorePreciledScompiledScriptbyTecode.2)MinimimiedAtabaseSqueriSegrieSqueriSegeriSybysequeryCachingandeffeftExting.3)Leveragephp7 leveragephp7 leveragephp7 leveragephpphp7功能forbettercodeefficy.4)
PHP性能优化清单:立即提高速度May 12, 2025 am 12:07 AM到ImprovephPapplicationspeed,关注台词:1)启用opcodeCachingwithapCutoredUcescriptexecutiontime.2)实现databasequerycachingusingpdotominiminimizedatabasehits.3)usehttp/2tomultiplexrequlexrequestsandredececonnection.4 limitsclection.4.4
PHP依赖注入:提高代码可检验性May 12, 2025 am 12:03 AM依赖注入(DI)通过显式传递依赖关系,显着提升了PHP代码的可测试性。 1)DI解耦类与具体实现,使测试和维护更灵活。 2)三种类型中,构造函数注入明确表达依赖,保持状态一致。 3)使用DI容器管理复杂依赖,提升代码质量和开发效率。
PHP性能优化:数据库查询优化May 12, 2025 am 12:02 AMdatabasequeryOptimizationinphpinvolVolVOLVESEVERSEVERSTRATEMIESOENHANCEPERANCE.1)SELECTONLYNLYNESSERSAYCOLUMNSTORMONTOUMTOUNSOUDSATATATATATATATATATATRANSFER.3)
简单指南:带有PHP脚本的电子邮件发送May 12, 2025 am 12:02 AMphpisusedforsenderemailsduetoitsbuilt-inmail()函数andsupportiveLibrariesLikePhpMailerandSwiftMailer.1)usethemail()functionforbasicemails,butithasimails.2)butithasimimitations.2)
PHP性能:识别和修复瓶颈May 11, 2025 am 12:13 AMPHP性能瓶颈可以通过以下步骤解决:1)使用Xdebug或Blackfire进行性能分析,找出问题所在;2)优化数据库查询并使用缓存,如APCu;3)使用array_filter等高效函数优化数组操作;4)配置OPcache进行字节码缓存;5)优化前端,如减少HTTP请求和优化图片;6)持续监控和优化性能。通过这些方法,可以显着提升PHP应用的性能。
PHP的依赖注入:快速摘要May 11, 2025 am 12:09 AM依赖性注射(DI)InphpisadesignPatternthatManages和ReducesClassDeptions,增强量产生性,可验证性和Maintainability.itallowspasspassingDepentenciesLikEdenceSeconnectionSeconnectionStoclasseconnectionStoclasseSasasasasareTers,interitationApertatingAeseritatingEaseTestingEasingEaseTeStingEasingAndScalability。
提高PHP性能:缓存策略和技术May 11, 2025 am 12:08 AMcachingimprovesphpermenceByStorcyResultSofComputationsorqucrouctationsorquctationsorquickretrieval,reducingServerLoadAndenHancingResponsetimes.feftectivestrategiesinclude:1)opcodecaching,whereStoresCompiledSinmememorytssinmemorytoskipcompliation; 2)datacaching datacachingsingMemccachingmcachingmcachings
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
Video Face Swap
使用我们完全免费的人工智能换脸工具轻松在任何视频中换脸!
热门文章
热工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
WebStorm Mac版
好用的JavaScript开发工具
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
