在PHP中,表单token是一种安全机制,用于防止跨站请求伪造(CSRF)攻击。
CSRF攻击是一种利用用户身份在未经授权的情况下执行非法操作的攻击方式。
表单token的原理是在表单中生成一个随机的token,并将其存储在服务器端。
当表单提交时,将该token随表单数据一起发送到服务器端。服务器端在接收到表单数据后,
检查该token是否有效,如果无效则拒绝处理该请求。 生成表单token的方法可以使用PHP的内置函数csrf_token()
。以下是一个示例:
session_start();
function csrf_token()
{
if (empty($_SESSION['csrf_token'])) {
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
return $_SESSION['csrf_token'];
}
function validate_csrf_token($token) {
if (empty($_SESSION['csrf_token']) || $_SESSION['csrf_token'] !== $token) {
return false;
}
return true;
}
// 验证表单提交的token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$submitted_token = $_POST['csrf_token'];
if (!validate_csrf_token($submitted_token)) {
die('Invalid CSRF token');
}
// 处理表单数据
echo '提交成功';
}
// 在表单中使用token
$token = csrf_token();
echo '<form action="" method="post">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="text" name="name">';
echo '<input type="submit" value="Submit">';
echo '</form>';