PHP 在控制器中怎么添加 token 验证
- // 获得 token
- privatefunction getToken(){
- $tokenName = C('TOKEN_NAME',null,'__hash__');
- $tokenType = C('TOKEN_TYPE',null,'md5');
- if(!isset($_SESSION[$tokenName])){
- $_SESSION[$tokenName] = array();
- }
- // 标识当前页面唯一性
- $tokenKey = md5($_SERVER['REQUEST_URI']);
- if(isset($_SESSION[$tokenName][$tokenKey])){
- // 相同页面不重复生成session
- $tokenValue = $_SESSION[$tokenName][$tokenKey];
- }else{
- $tokenValue = is_callable($tokenType)? $tokenType
- (microtime(true)): md5(microtime(true));
- $_SESSION[$tokenName][$tokenKey] = $tokenValue;
- if(IS_AJAX && C('TOKEN_RESET',null,true))
- header($tokenName.': '.$tokenKey.'_'.$tokenValue);
- //ajax需要获得这个header并替换页面中meta中的token值
- }
- return array($tokenName,$tokenKey,$tokenValue);
- }
- php
- @session_start();
- if($_POST){
- if($_POST['privatetoken']== $_SESSION['token']){
- unset($_SESSION['token']);
- echo '合法提交';
- }else{
- echo 'novalite';
- }
- }
- $token=md5(getrandcode());
- $_SESSION['token']= $token;
- function getrandcode(){
- $str =array(1,2,3,4,5,6,7,8,9,'a','b','c','d','e','f','g','h');
- $res='';
- for($i=0;$i<4;$i++){
- $rand=mt_rand(1,16);
- $res .=$str[$rand];
- }
- return $res;
- }
- ?>
- lang="en">
- charset="UTF-8">
- form
- action="form.php"method="post">
- url:type="text"name="urlist"/>
- php echo $token;?>" />
- />
- type="submit"value="tijiao"/>
- -------------------------------------------
- 表单被模拟的话 session是不会重新生成的-
- session
- Token,就是令牌,最大的特点就是随机性,不可预测。一般黑客或软件无法猜测出来。
- 那么,Token有什么作用?又是什么原理呢?
- Token一般用在两个地方——防止表单重复提交、anti csrf攻击(跨站点请求伪造)。
- 两者在原理上都是通过session token来实现的。当客户端请求页面时,服务器会生成一个随机数Token,并且将Token放置到session当中,然后将Token发给客户端(一般通过构造hidden表单)。下次客户端提交请求时,Token会随着表单一起提交到服务器端。
- 然后,如果应用于"anti csrf攻击",则服务器端会对Token值进行验证,判断是否和session中的Token值相等,若相等,则可以证明请求有效,不是伪造的。
- 不过,如果应用于"防止表单重复提交",服务器端第一次验证相同过后,会将涩session中的Token值更新下,若用户重复提交,第二次的验证判断将失败,因为用户提交的表单中的Token没变,但服务器端session中Token已经改变了。
- 上面的session应用相对安全,但也叫繁琐,同时当多页面多请求时,必须采用多Token同时生成的方法,这样占用更多资源,执行效率会降低。因此,也可用cookie存储验证信息的方法来代替session Token。比如,应对"重复提交"时,当第一次提交后便把已经提交的信息写到cookie中,当第二次提交时,由于cookie已经有提交记录,因此第二次提交会失败。
- 不过,cookie存储有个致命弱点,如果cookie被劫持(xss攻击很容易得到用户cookie),那么又一次gameover。黑客将直接实现csrf攻击。
[php] view plain copy
print?
PHP token 验证规则
- <?php
- /*
- * PHP 简单利用 token 防止表单重复提交
- * 此处理方法纯粹是为了给初学者参考
- */
- session_start();
- function set_token(){
- $_SESSION['token']= md5(microtime(true));
- }
- function valid_token(){
- $return = $_REQUEST['token']=== $_SESSION['token']?true:false;
- set_token();
- return $return;
- }
- // 如果 token 为空则生成一个 token
- if(!isset($_SESSION['token'])|| $_SESSION['token']==''){
- set_token();
- }
- if(isset($_POST['test'])){
- if(!valid_token()){
- echo "token error";
- }else{
- echo '成功提交,Value:'.$_POST['test'];
- }
- }
- ?>
- "post" action="">
- "hidden" name="token" value="">
- "text" name="test" value="Default">
- "submit" value="提交" />
- </form>
来源: http://www.bubuko.com/infodetail-2167388.html