PHP防csrf攻击

 

PHP防csrf攻击

标签： CSRFPHP

2015-12-14 20:01  2829人阅读  评论(0)  收藏  举报

  分类：

PHP（46） 

版权声明：本文为博主原创文章，未经博主允许不得转载。

由于用户可能会从其他途径POST过来，因此我们需要防止这种情况

原理：在页面生成一个随即串并保存在token中，用于在服务器中比对

index.php 与 temp.php  两个页面示范

index.php 页面：

 "code" class="php">
     session_start();
     $csrf = md5(uniqid(rand(), TRUE));  //生成token
     $_SESSION['csrf'] = $csrf;
 ?>
 "utf-8">
 "temp.php" method="post" name="form1" idf="form1">
     测试："text" name="user" id="user">
     "hidden" name="csrf" id="csrf" value="">
     "submit" name="submit" value="提交">

 "background-color: rgb(255, 255, 255);">

 "background-color: rgb(255, 255, 255);">

 temp.php页面：

 "code" class="php">
 session_start();
     if(isset($_POST['user']) && $_SESSION['csrf'] == $_POST['csrf']){
         echo '测试通过且 csrf:'.$_SESSION['csrf'];
     }else{
         echo '测试失败';
     }