PHP表单token验证防CSRF攻击

于 2023-09-08 15:12:25 发布
阅读量756 收藏 1
点赞数
分类专栏: php 底层原理 html 文章标签: php 开发语言 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39934453/article/details/132760741
版权
php 同时被 3 个专栏收录
254 篇文章 8 订阅
订阅专栏
html
26 篇文章 0 订阅
订阅专栏
底层原理
7 篇文章 0 订阅
订阅专栏

在PHP中,表单token是一种安全机制,用于防止跨站请求伪造(CSRF)攻击。

CSRF攻击是一种利用用户身份在未经授权的情况下执行非法操作的攻击方式。

表单token的原理是在表单中生成一个随机的token,并将其存储在服务器端。

当表单提交时,将该token随表单数据一起发送到服务器端。服务器端在接收到表单数据后,

检查该token是否有效,如果无效则拒绝处理该请求。 生成表单token的方法可以使用PHP的内置函数csrf_token()。以下是一个示例:

session_start();
function csrf_token()
{
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}
function validate_csrf_token($token) {
    if (empty($_SESSION['csrf_token']) || $_SESSION['csrf_token'] !== $token) {
        return false;
    }
    return true;
}
// 验证表单提交的token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $submitted_token = $_POST['csrf_token'];
    if (!validate_csrf_token($submitted_token)) {
        die('Invalid CSRF token');
    }
    // 处理表单数据
    echo '提交成功';
}


// 在表单中使用token
$token = csrf_token();
echo '<form action="" method="post">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="text" name="name">';
echo '<input type="submit" value="Submit">';
echo '</form>';

 

PHP隔壁老王邻居
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
详解php curl带有csrf-token验证模拟提交方法
10-18
主要介绍了详解php curl带有csrf-token验证模拟提交方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
phptoken作用原理,csrf_token简单原理实现
weixin_33498283的博客
03-11 981
我们知道laravel里面有一个csrf_token,特别在有表单提交的时候,避免网络原因重复提交或者,非法手段curl模拟不断请求,都是有一定的帮助。别小看,好像也就这样但是却非常实用。按照我的理解,这种技巧很简单的做法就是用session就可以完成。CSRF(Cross-site request forgery)又叫跨站请求伪造,而要做到预,原理可以用session产生一个token,因为:...
php--- 验证表单csrf
黄星的专栏
05-20 451
验证码或者 使用token 或者2者都用 详细查看 https://github.com/xing2233/cms/blob/master/application/cmsadmin/controllers/login.php
php添加 csrf,如何用php获取某个页面中的input的csrf_token
weixin_39747049的博客
03-12 100
好问题,我这里有最好的答案。composer包:"symfony/css-selector": "3.1.*","symfony/dom-crawler": "3.1.*","guzzlehttp/guzzle": "6.2.*"php代码$body = (new \GuzzleHttp\Client)->get('http://bosonnlp.com/account/login')-&g...
phpcsrf攻击,zblog php添加TokenCSRF攻击
weixin_29885875的博客
04-14 275
CSRF全称Cross Site Request Forgery,即跨站点请求伪造,通过伪装成受信任用户的请求来利用受信任的网站。如果使用的zblog应用有通过cmd.php处理的链接,或提交数据,应该同时提交一个token参数。另外,您的应用如果有副作用,也务必需要加入CSRF Token。通过GET方法提交,如果您的目标地址是cmd.php,那么您可以使用以下函数:如果不是,那么您也可以直接通...
PHP实现表单重复提交功能【基于token验证
10-18
本文将详细介绍如何使用PHP实现基于token验证表单重复提交护功能。 首先,我们需要理解token的工作原理。在用户提交表单时,服务器会生成一个唯一的、随机的令牌(token),并将其隐藏在表单中,通常作为一个...
PHP token验证生成原理实例分析
10-16
总结来说,PHP中的Token验证是一个关键的安全措施,通过生成和验证随机字符串,确保请求的合法性,从而保护Web应用程序免受CSRF攻击开发者在实现Token验证时,应考虑到时效性、一次性以及与服务器端数据的匹配,...
laravel框架中表单请求类型和CSRF护实例分析
12-20
Laravel默认启用CSRF(跨站请求伪造)护,它通过验证请求中的CSRF令牌来止恶意第三方提交表单。每个表单需要包含一个名为`_token`的隐藏字段,其值由`csrf_token()`函数生成: ```html ('test') }}" method=...
PHP使用token表单重复提交的方法
12-17
1. 为了安全起见,除了使用 token 止重复提交,还可以结合其他验证机制,如 CSRF(跨站请求伪造)护。 2. 生成的 token 应该是一次性的,即每次提交后都需要更新 session 中的 token 值,止用户回退页面后再次...
php添加 csrf,PHP添加csrf token的注意点
weixin_39926014的博客
03-12 452
PHP添加csrf token的注意点首先不建议使用rand(),unique()来生成,如$token = md5(uniqid(rand(), TRUE));这是因为rand()函数产生的随机字符串是可以预测的。runiqid()和md5()增加的复杂度不高。产生tokenPHP 7session_start();if (empty($_SESSION['token'])) {$_SESSIO...
php注册时token获取,如何用php获取某个页面中的input的csrf_token
weixin_39858298的博客
03-29 78
好问题,我这里有最好的答案。composer包:"symfony/css-selector": "3.1.*","symfony/dom-crawler": "3.1.*","guzzlehttp/guzzle": "6.2.*"php代码$body = (new \GuzzleHttp\Client)->get('http://bosonnlp.com/account/login')-&g...
php ci csrf,CodeIgniter中使用CSRF TOKEN的一个坑
weixin_42524945的博客
03-10 316
事情的经过是这样的,一个自动化扫描工具说我的代码中存在XSS漏洞,什么是XSS不懂的朋友可以看这里我的代码里面开启CodeIgniter框架的CSRF Token,如下: 很简单,更多详情参考CI官方文档,主要用法就是在form_open时候自动插入一个隐藏的token值,当然还可以直接用php echo security->csrf_hash来配合其他一些用法,这里不多说。接下来说说我的代...
php curl带有csrf-token验证模拟提交方法
CC_rmvb的博客
10-12 1177
通常为了安全会在表单里加入一个随机的token值来csrf攻击。  要想模拟提交有token验证的网站其实也不难。 1.通过正则获取token  2.带上获取到的token模拟提交 下面是一个成功的例子  目录结构 │ form.php –需要模拟的表单  │ getForm.php – 模拟提交程序  │ post.php表单验证程序  │  └─cook
php 模拟访问csrf,详解php curl带有csrf-token验证模拟提交方法
weixin_33101399的博客
03-11 173
通常为了安全会在表单里加入一个随机的token值来csrf攻击。要想模拟提交有token验证的网站其实也不难。1.通过正则获取token2.带上获取到的token模拟提交下面是一个成功的例子目录结构│ form.php –需要模拟的表单│ getForm.php – 模拟提交程序│ post.php表单验证程序│└─cookie – cookie存放目录getForm.php$cookie...
怎样使用php添加tokencsrf攻击
weixin_43947156的博客
05-27 437
For security code, please don’t generate your tokens this way: $token = md5(uniqid(rand(), TRUE)); rand() is predictable uniqid() only adds up to 29 bits of entropy md5() doesn’t add entropy, it just mixes it deterministically Try this out: Generating a CS
php每次请求制造一个token,php csrf问题,一个请求生成一个csrf key token,但是界面用了两个POST?汗血宝马...
weixin_42112658的博客
03-27 248
登录和注册放在一起了,但是一个请求只有一份csrf的key和token,这里会有两个POST,那这个怎么办呢?我想到的是,分开或者一个成功后刷新页面没关系的呀,审核的csrf_token 都是session给的,我懂了,您的csrf_token是 放表单里的对吧,您可以放在meta标签里呀,通过ajax提交表单。或者甩在form外面每次异步提交就无所谓了,渲染视图的时候放在meta标签里或者丢出去...
CSRF】动态生成CSRF_TOKEN
qq_35807303的博客
12-27 1876
项目场景: 项目相关背景: 在日常项目开发过程中,很多敏感的数据接口都很容易被恶意访问和调用,这种情况下为了避免接口被跨页面攻击(以下统称:Cross-site request forgery(CSRF)),都会在请求接口出增加临时token,避免接口被恶意调用,但是很多框架只支持静态页面生成渲染CSRF TOKEN,对动态api接口并不友好(前后端分离),只能自己写动静都支持的代码逻辑; 业务代码: 以下是相关的示例代码,此代码支持动态api接口使用,能满足各个业务端使用,每次调用验证完成之后都会自动
php表单提交或者ajax提交数据操作使用csrf token验证
donglianyou的专栏
03-24 324
php表单提交或者ajax提交数据操作使用csrf token验证
常见PHP框架CSRF范方案分析
X先生说
04-20 341
什么是CSRF CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。网上有很多相关介绍了,具体攻击方式就不细说了,下面来说说Laravel和Yii2是如何来做CSRF攻击范的。 Laravel CSRF范 本次对Laravel CSRF范源码的分析是基于5.4.36版本的,其他版本代码可能有所不同,但原理是相似的。 Laravel通过中间件app/...
php如何csrf攻击
大熊
12-31 853
原创2019-09-20 13:51:230 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PHP隔壁老王邻居

啦啦啦啦啦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值