在我的表单中,我有一个隐藏字段:
此值也存储在会话和变量中:
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']); # TODO: put this in a function
$auth_token = $_SESSION['auth_token'];
提交表单后,将比较两个值。 这是基本的表单令牌。
应该将它变成两个函数还是重构时一个? set_form_token()和get_form_token() ,get_form_token()返回会话值,然后可以在主代码中进行比较。 正确的做法是什么?
编辑:
考虑到Joel L和RobertPitt的回答,我做出了这些:
function set_auth_token()
{
if (!isset($_SESSION['auth_token']))
{
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
}
function get_auth_token()
{
if (isset($_SESSION['auth_token']))
{
return $_SESSION['auth_token'];
}
else
{
die('No auth token.');
}
}
function check_auth_token()
{
if (array_key_exists('auth_token', $_SESSION) && array_key_exists('auth_token', $_POST))
{
if ($_SESSION['auth_token'] === $_POST['auth_token'])
{
# what happens if user fills the form in wrong first time(?)
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
else
{
return false;
}
}
else
{
return false;
}
}
然后,我可以检查check_auth_token是否返回false,然后在提交表单后记录下来。 这可以接受吗?