php添加 csrf,PHP添加csrf token的注意点

PHP添加csrf token的注意点

首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));

这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。

产生token

PHP 7session_start();

if (empty($_SESSION['token'])) {

$_SESSION['token'] = bin2hex(random_bytes(32));

}

$token = $_SESSION['token'];

PHP 5.3+session_start();

if (empty($_SESSION['token'])) {

if (function_exists('mcrypt_create_iv')) {

$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));

} else {

$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));

}

}

$token = $_SESSION['token'];

当没有找到mcryt_create_iv函数,可以使用openssl_random_pseudo_bytes。

验证tokenif (!empty($_POST['token'])) {

if (hash_equals($_SESSION['token'], $_POST['token'])) {

// 验证成功,

} else {

// 验证失败

}

}

如果是PHP5.6以上的版本,比较token不建议使用==或者===,而是使用hash_equals()。

PHP添加csrf token的注意点相关教程

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值