在 PHP 中使用正确的 CSRF 令牌实施来保护表单
问题:
< ;p>当尝试将 CSRF 令牌添加到两种不同的表单时,其中一种使用AJAX 和其他基本联系表单,观察到 HTML 中的令牌值偶尔为空。如何解决这个问题?
答案:
问题可能源于令牌生成方法,因为提供的代码是容易受到预测和缺乏熵的影响。此方法对于一次性使用和每次表单令牌验证也是不够的。
生成强 CSRF 令牌:
将令牌生成替换为安全PHP 7 或 PHP 5.3 的方法:
PHP 7
session_start();
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];
PHP 5.3(或使用 ext-mcrypt)
session_start();
if (空($_SESSION['令牌'])) {
if (function_exists('mcrypt_create_iv')) {
$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
} else {
$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
}
}
$token = $_SESSION['token'];
验证 CSRF 令牌:
使用 hash_equals() 验证令牌安全地:
if (!empty($_POST['token'])) {
if (hash_equals($_SESSION['token'], $_POST['token'])) {
// Proceed to process the form data
} else {
// Log this as a warning and keep an eye on these attempts
}
}
Per -表单令牌限制:
进一步限制将令牌转换为特定形式,请使用 hash_hmac():
echo hash_hmac('sha256', '/my_form.php', $_SESSION['second_token']);
?> ;” />
与 Twig 集成的混合方法:
对于那些使用 Twig 模板的人,可以使用简化的双重策略实现:
$twigEnv->addFunction(
new \Twig_SimpleFunction(
'form_token',
function($lock_to = null) {
if (empty($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if (empty($_SESSION['token2'])) {
$_SESSION['token2'] = random_bytes(32);
}
if (empty($lock_to)) {
return $_SESSION['token'];
}
return hash_hmac('sha256', $lock_to, $_SESSION['token2']);
}
));
使用此函数,安全通用令牌可以用作:
<输入类型=“隐藏”名称=“令牌” value=" form_token>
虽然可以使用以下方式生成每个表单令牌:
一次性 CSRF 令牌:
对于一次性使用令牌要求,请考虑使用专用库,例如来自 Paragon Initiative Enterprises 的反 CSRF 库。
以上是为什么我的 CSRF 令牌在 AJAX 和标准表单中使用时有时为空,如何在 PHP 中修复此问题?的详细内容。更多信息请关注PHP中文网其他相关文章!
在Laravel中使用Flash会话数据Mar 12, 2025 pm 05:08 PMLaravel使用其直观的闪存方法简化了处理临时会话数据。这非常适合在您的应用程序中显示简短的消息,警报或通知。 默认情况下,数据仅针对后续请求: $请求 -
php中的卷曲:如何在REST API中使用PHP卷曲扩展Mar 14, 2025 am 11:42 AMPHP客户端URL(curl)扩展是开发人员的强大工具,可以与远程服务器和REST API无缝交互。通过利用Libcurl(备受尊敬的多协议文件传输库),PHP curl促进了有效的执行
简化的HTTP响应在Laravel测试中模拟了Mar 12, 2025 pm 05:09 PMLaravel 提供简洁的 HTTP 响应模拟语法,简化了 HTTP 交互测试。这种方法显着减少了代码冗余,同时使您的测试模拟更直观。 基本实现提供了多种响应类型快捷方式: use Illuminate\Support\Facades\Http; Http::fake([ 'google.com' => 'Hello World', 'github.com' => ['foo' => 'bar'], 'forge.laravel.com' =>
在Codecanyon上的12个最佳PHP聊天脚本Mar 13, 2025 pm 12:08 PM您是否想为客户最紧迫的问题提供实时的即时解决方案? 实时聊天使您可以与客户进行实时对话,并立即解决他们的问题。它允许您为您的自定义提供更快的服务
如何注册和使用Laravel服务提供商Mar 07, 2025 am 01:18 AMLaravel的服务容器和服务提供商是其架构的基础。 本文探讨了服务容器,详细信息服务提供商创建,注册,并通过示例演示了实际用法。 我们将从OVE开始
PHP记录:PHP日志分析的最佳实践Mar 10, 2025 pm 02:32 PMPHP日志记录对于监视和调试Web应用程序以及捕获关键事件,错误和运行时行为至关重要。它为系统性能提供了宝贵的见解,有助于识别问题并支持更快的故障排除
解释PHP中晚期静态结合的概念。Mar 21, 2025 pm 01:33 PM文章讨论了PHP 5.3中引入的PHP中的晚期静态结合(LSB),从而允许静态方法的运行时分辨率调用以获得更灵活的继承。 LSB的实用应用和潜在的触摸
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
Dreamweaver CS6
视觉化网页开发工具
适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
Dreamweaver Mac版
视觉化网页开发工具
