CodeIgniter-Security的CSRF hash生成功能

最新推荐文章于 2022-08-19 09:34:37 发布
最新推荐文章于 2022-08-19 09:34:37 发布
阅读量617 收藏
点赞数
分类专栏: CodeIgniter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mijar2016/article/details/53127602
版权

Security类中get_random_bytes()方法负责随机生成字符串,用于 CSRF 验证的hash值。

public function get_random_bytes($length)
{
    if (empty($length) OR ! ctype_digit((string) $length))
    {
        return FALSE;
    }

    if (defined('MCRYPT_DEV_URANDOM') && ($output = mcrypt_create_iv($length, MCRYPT_DEV_URANDOM)) !== FALSE)
    {
        return $output;
    }

    if (is_readable('/dev/urandom') && ($fp = fopen('/dev/urandom', 'rb')) !== FALSE)
    {
        // Try not to waste entropy ...
        is_php('5.4') && stream_set_chunk_size($fp, $length);
        $output = fread($fp, $length);
        fclose($fp);
        if ($output !== FALSE)
        {
            return $output;
        }
    }

    if (function_exists('openssl_random_pseudo_bytes'))
    {
        return openssl_random_pseudo_bytes($length);
    }

    return FALSE;
}

从上面的代码可以看出,程序调用的优先级 mcrypt_create_iv -> /dev/urandom ->openssl_random_pseudo_bytes.  那么这三种调用方式有什么区别呢?

首先,查看 mcrypt_create_iv 函数源码 (/ext/mcrypt/mcrypt.c).

PHP_FUNCTION(mcrypt_create_iv)
{
	char *iv;
	long source = RANDOM;
	long size;
	int n = 0;

	if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "l|l", &size, &source) == FAILURE) {
		return;
	}
	if (size <= 0 || size >= INT_MAX) {
		php_error_docref(NULL TSRMLS_CC, E_WARNING, "Cannot create an IV with a size of less than 1 or greater than %d", INT_MAX);
		RETURN_FALSE;
	}
	
	iv = ecalloc(size + 1, 1);
	
	if (source == RANDOM || source == URANDOM) {
#if PHP_WIN32
		/* random/urandom equivalent on Windows */
		BYTE *iv_b = (BYTE *) iv;
		if (php_win32_get_random_bytes(iv_b, (size_t) size) == FAILURE){
			efree(iv);
			php_error_docref(NULL TSRMLS_CC, E_WARNING, "Could not gather sufficient random data");
			RETURN_FALSE;
		}
		n = size;
#else
		int    fd;
		size_t read_bytes = 0;

		fd = open(source == RANDOM ? "/dev/random" : "/dev/urandom", O_RDONLY);
		if (fd < 0) {
			efree(iv);
			php_error_docref(NULL TSRMLS_CC, E_WARNING, "Cannot open source device");
			RETURN_FALSE;
		}
		while (read_bytes < size) {
			n = read(fd, iv + read_bytes, size - read_bytes);
			if (n < 0) {
				break;
			}
			read_bytes += n;
		}
		n = read_bytes;
		close(fd);
		if (n < size) {
			efree(iv);
			php_error_docref(NULL TSRMLS_CC, E_WARNING, "Could not gather sufficient random data");
			RETURN_FALSE;
		}
#endif
	} else {
		n = size;
		while (size) {
			iv[--size] = (char) (255.0 * php_rand(TSRMLS_C) / RAND_MAX);
		}
	}
	RETURN_STRINGL(iv, n, 0);
}

mcrypt_create_iv函数接受两个参数。 在linux操作系统下,  source == RANDOM 时 调用  "/dev/random"获取随机数, 当  source ==  URANDOM时,则调用“ /dev/urandom”。

回看get_random_bytes函数代码, mcrypt_create_iv的第二个参数值为MCRYPT_DEV_URANDOM,实际上,调用"dev/urandom"来获取随机数。

那么相比直接调用dev/urandom获取随机数,mcrypt_create_iv 兼容性更好。


再来看看openssl_random_pseudo_bytes函数源码(ext/openssl/openssl.c):

PHP_FUNCTION(openssl_random_pseudo_bytes)
{
	long buffer_length;
	unsigned char *buffer = NULL;
	zval *zstrong_result_returned = NULL;
	int strong_result = 0;

	if (zend_parse_parameters(ZEND_NUM_ARGS() TSRMLS_CC, "l|z", &buffer_length, &zstrong_result_returned) == FAILURE) {
		return;
	}

	if (buffer_length <= 0) {
		RETURN_FALSE;
	}

	if (zstrong_result_returned) {
		zval_dtor(zstrong_result_returned);
		ZVAL_BOOL(zstrong_result_returned, 0);
	}

	buffer = emalloc(buffer_length + 1);

	if ((strong_result = RAND_pseudo_bytes(buffer, buffer_length)) < 0) {
		efree(buffer);
		RETURN_FALSE;
	}

	buffer[buffer_length] = 0;
	RETVAL_STRINGL((char *)buffer, buffer_length, 0);

	if (zstrong_result_returned) {
		ZVAL_BOOL(zstrong_result_returned, strong_result);
	}
}

openssl_random_pseudo_bytes内部实际调用RAND_pseudo_byte()生成随机数(RAND_pseudo_bytes不作介绍,有兴趣的童鞋可参考http://blog.csdn.net/sunspider107/article/details/7364770资料).


以上就是get_random_bytes()生成随机数三种方式的介绍,下面稍带简单地介绍 /dev/random 与 /dev/urandom 区别。

/dev/random 与 /dev/urandom 都是linux系统随机数生成器。唯一的区别是 当linux 熵池随机数不多时,读取/dev/random 时 会发生阻塞, 而/dev/urandom 不会。


总结:

在生成环境使用中,考虑到平台的兼容性,尽量使用 mcrypt_create_iv 函数获取随机数,尽量杜绝使用"/dev/random "方式。


mijar2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax 请求的坑
孤舟残月梦还长存的专栏
02-21 1979
一、Ajax 请求的 CSRF 保护机制 开发普通页面,在一般情况下,我们使用 jquery 的 Ajax 代替原生 js 向后端发起请求是很方便的。后端在一般情况下,我们使用的是像 laravel、Yii、ThankPHP 或者 CodeIgniter 等等这样的框架。这些框架无一例外都使用了 CSRF保护机制,什么是 CSRFCSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性。简单理解一下,最常见的情况,就是 A 站点的页面去请...
CodeIgniter-Telegram:通过电话进行建模
02-05
CodeIgniter-Telegram 使用Telegram API数据配置config / telegram.php 。 为config和model配置config / autoload.php ,或者在需要时运行。 将页面设置为webhook,并确保运行模型Telegram。用法页面加载后(手动或...
php ci csrf,CodeIgniter中使用CSRF TOKEN的一个坑
weixin_42524945的博客
03-10 294
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。接下来说说我的代...
php学习(四):CodeIgniter框架,仅次于Laravel的框架(CI 4)
qq_50792097的博客
08-19 2424
CodeIgniter的不断发展,它的安全性和缓存技术,可谓是非常优秀了,在这两方面来说,第二名它当之无愧
Codeigniter 4基础教程(1)-- Wamp+CodeIgniter 4以及helloworld
yaoguoxing的博客
06-06 2962
前言: Codeigniter 是PHP语言上比较普遍的MVC框架(不懂MVC的请出门左转,那里有教程)。相对而言比较简单,效率较高(一般认为仅次于Phalcon),市场占有率比较高(一般认为仅次于laravel)。缺点是Codeigniter更新不够快,新的内容不够多,比如,csrf等内容就曾经长期没有获得更新。 0.WAMP 注意:codeigniter 4.0.3 需要至少PHP 7.2+的平台。这里选择Wamp安装包。具体安装请参考其他教程。安装后的效果如下 1.安装Codeigniter 4 +
codeigniter-registry:CodeIgniter 的注册表库
06-13
CodeIgniter 的注册表库 您可以使用此库来存储和访问应用程序级全局数据。 该库旨在与 CI 2.x 和 CI 3.x 兼容。 安装 将文件 Registry.php 放在项目的 application/libraries/ 文件夹中。 使用示例 //-------------...
codeigniter-starter:codeigniter-starter
02-03
关于这是一个代码点火器入门工具,您可以在其中找到一个CRUD示例,其中包含有关如何使用它们的不同ui组件。... 一些代码初始化助手: 帮手定制语言形式帮手验证迁移查询生成器等等去做: 使codeigni
CodeIgniter-4.3.6
最新发布
08-23
CodeIgniter-4.3.6
CodeIgniter-Admin-Panel
03-29
CodeIgniter-Admin-Panel 该项目是使用CodeIgniter 3开发的。 被用作该项目的主题。
php ci csrf,Codeigniter开启了CSRF protection后,表单以及ajax传输都要带上一個token的值...
weixin_29048775的博客
03-10 218
如果打開這個功能的話post表单,提交給server 后报错: Error 500An Error Was EncounteredThe action you have requested is not allowed.會無法執行這時候要在表單傳送的數值中加入一個token的值才能正常使用表單功能可以在application/config/config.php中找到下面這幾行$config['cs...
php ci csrf,Codeigniter开启CSRF protection时 用ajax post提交 报错的解决办法 | 极安全-JiSec...
weixin_42355865的博客
03-10 384
在CI 3.0中有一个csrf(Cross Site Request Forgery) protection的功能开启了csrf后 由于出于安全考虑 ci3中用ajax post 提交 必须要用到toke 令牌如果这个扩展打开了的话POST ajax提交就会报错 我用的nginx 报的403The action you have requested is not allowed.大意是你所要求的行...
织梦系统基本参数php,织梦dedecms出现系统基本参数空白怎么办
weixin_35600835的博客
04-12 116
织梦dedecms出现系统基本参数空白怎么办?织梦dedecms出现系统基本参数空白或显示Call to undefined function make_hash()推荐学习:织梦cms最新的织梦版本(2018-01-09)修改了include文件夹中的common.func.php,增加了两个函数。下载的模板文件夹中如果提供了common.func.php文件,很有可能没有这两个函数,于是会造成...
织梦dedecms出现系统基本参数空白怎么办
PHP错误汇总
12-06 87
织梦dedecms出现系统基本参数空白或显示Call to undefined function make_hash() ***新的织梦版本(2018-01-09)修改了include文件夹中的common.func.php,增加了两个函数。 下载的模板文件夹中如果提供了common.func.php文件,很有可能没有这两个函数,于是会造成错误。 需要将这两个函数的代码粘贴到/include/common.func.php文件中,代码如下: function make_hash() { ..
CodeIgniter框架源码学习之安全类--Security.php
落地窗前梦残夜
08-24 997
文件位置:./system/core/Security.php /** * CodeIgniter * * An open source application development framework for PHP * * This content is released under the MIT License (MIT) * * Copyright (c)
织梦安装模板后出现 Fatal error: Call to undefined function make_hash()
先行网络技术
07-25 3226
新版的织梦dedecms修改了 include 文件夹中的 common.func.php,增加了两个函数,而由于某些原因,例如:下载了某个以前的模板文件,如果此模板中提供了 common.func.php 文件,并且没有这两个函数的话,就会造成错误。 因为安装的模板会更新 common.func.php文件,导入缺号函数make_hash,所以出现这样的错误。 如果网站打开详细错误提示会显示...
CI的csrf的使用说明
飞空静渡
02-19 1243
在application的config中可以开启csrf的设置: $config['csrf_protection'] = TRUE; $config['csrf_token_name'] = 'csrf_test_name'; $config['csrf_cookie_name'] = 'csrf_cookie_name'; $config['csrf_expire'] = 7200; $c...
CI框架ajax方式post数据时加上csrf验证
SMILENCE
06-13 3484
原理 1.生成一个token串放在cookies里面, 2.把上面那个token放在表单里面, 3.表单回传之后,对比cookies里面的这个token和post里面的token是否相等,不相等就返回错误, 4.为什么可以防御csrf呢,因为cookies是不会被第三方获取的。 下面这段就是一个验证通过示例: $this ->security->csrf_verify();
codeigniter post
08-16
CodeIgniter框架中,获取POST参数可以使用$_POST['key']来获取。此外,CodeIgniter还封装了一个Input类,可以使用$this->input->post('key')来获取POST提交过来的数据。例如,可以使用以下代码来获取POST参数: $...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值