在 PHP 中,生成和驗證 CSRF 令牌可以通過以下步驟完成:
為了生成一個 CSRF 令牌,你需要創建一個唯一的隨機字符串。這可以使用 PHP 的內置函數 bin2hex() 和 random_bytes() 來實現。將生成的令牌存儲在用戶的會話中,以便稍后進行驗證。
session_start();
if (!isset($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
將生成的 CSRF 令牌添加到 HTML 表單中,以便在提交表單時將其發送回服務器。可以將令牌作為隱藏字段包含在表單中。
<form action="submit.php" method="post">
<!-- 其他表單字段 -->
<input type="hidden" name="csrf_token" value="<?php echo $_SESSION['csrf_token']; ?>">
<input type="submit" value="提交">
</form>
當用戶提交表單時,需要檢查提交的令牌是否與會話中存儲的令牌匹配。這可以確保只有合法的請求才能被處理。
在表單提交的處理腳本(在本例中為 submit.php)中,執行以下操作:
session_start();
if (isset($_POST['csrf_token']) && hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
// 驗證成功,處理表單數據
} else {
// 驗證失敗,顯示錯誤消息或處理錯誤
echo "Invalid CSRF Token!";
}
hash_equals() 函數用于比較兩個字符串,避免了它們在比較過程中可能出現的時序攻擊。
通過以上方法,你可以在 PHP 應用程序中生成和驗證 CSRF 令牌,從而提高應用程序的安全性。
