コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > PHP フォームに CSRF トークン保護を安全に実装するにはどうすればよいですか?

PHP フォームに CSRF トークン保護を安全に実装するにはどうすればよいですか?

DDD
リリース: 2024-12-17 20:00:20
オリジナル
320 人が閲覧しました

How to Securely Implement CSRF Token Protection in PHP Forms?

CSRF 防御テクニックの管理: PHP フォームを使用したウォークスルー

はじめに

Web サイトに適切なセキュリティ強化を追加するには、次のような対処が必要です。クロスサイト リクエスト フォージェリ (CSRF) などの潜在的な脆弱性。この記事では、PHP を使用して CSRF トークンを効果的に追加する方法について詳しく説明します。

問題を理解する

Web サイトに CSRF トークン保護を実装しましたが、トークンの値に一貫性がありませんHTML フォームに存在します。具体的には、「お問い合わせ」フォームと AJAX フォームでこの問題が発生しています。

コードの確認

トークン:

PHP:

if (!isset($_SESSION)) {
    session_start();
    $_SESSION['formStarted'] = true;
}

if (!isset($_SESSION['token'])) {
    $token = md5(uniqid(rand(), TRUE));
    $_SESSION['token'] = $token;
}
ログイン後にコピー

HTML:

<input type="hidden" name="token" value="<?php echo $token; ?>" />
ログイン後にコピー

弱点への対処

残念ながら、現在のトークン生成方法は欠陥のある技術を使用しています:

  • rand() は信頼できるランダム性のソースではありません。
  • uniqid() は限られた数のエントロピーを生成します。
  • md5() はエントロピーに寄与せず、むしろ並べ替えます。

堅牢なトークン ジェネレーターの実装

フォームを保護するには、次の PHP コードを利用してください:

PHP 7:

session_start();
if (empty($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['token'];
ログイン後にコピー

PHP 5.3 (または ext-mcrypt を使用):

session_start();
if (empty($_SESSION['token'])) {
    if (function_exists('mcrypt_create_iv')) {
        $_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
    } else {
        $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
    }
}
$token = $_SESSION['token'];
ログイン後にコピー

トークンの検証

次に、CSRF トークンを適切に検証して、次のような試みを防ぎます。悪用:

if (!empty($_POST['token'])) {
    if (hash_equals($_SESSION['token'], $_POST['token'])) {
         // Proceed to process the form data
    } else {
         // Log this as a warning and monitor such attempts
    }
}
ログイン後にコピー

追加の考慮事項

  • セキュリティを強化するために、各フォームに固有の CSRF トークンを作成することを検討してください。
  • 保護を強化するには、Twig テンプレート エンジンを利用してトークンの処理を簡素化し、それを
  • 独自の 1 回限りの CSRF トークンを作成するには、Paragon Initiative Enterprises の Anti-CSRF ライブラリなどの特殊なライブラリの使用を検討します。

以上がPHP フォームに CSRF トークン保護を安全に実装するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

ソース:php.cn
前の記事:REST API を使用して Firebase クラウド メッセージング通知を送信するにはどうすればよいですか? 次の記事:Gmail の SMTP サーバーを使用するときに「差出人」アドレスを変更できないのはなぜですか?
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
から 2024-04-29 11:01:01
0
3
2229
Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
から 2024-04-23 00:22:19
0
11
2372
子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
から 2024-04-19 15:37:47
0
1
1984
親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
から 2024-04-18 23:52:34
0
1
1869
CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
から 2024-04-16 10:10:18
0
0
1939
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート