PHP防止跨站请求伪造方法_PHP CSRF保护使用说明

PHP防CSRF核心是生成并校验一次性令牌：通过session_start()开启会话，用bin2hex(random_bytes(32))生成Token存入$_SESSION['csrf_token']并嵌入表单隐藏域；提交时用hash_equals()比对$_POST['token']与Session中值，校验后建议刷新Token；Token应绑定用户ID/IP片段、避免URL传递，并配合POST操作、SameSite Cookie及AJAX头校验等措施。

PHP防止跨站请求伪造（CSRF）的核心是为每个敏感操作生成并校验一次性令牌（Token），确保请求来自用户本人的合法页面，而非第三方伪造的表单或链接。

生成并嵌入CSRF Token

在显示表单的PHP页面中，生成随机、不可预测的Token，并存入用户Session，同时作为隐藏字段写入表单：

• 使用session_start()开启会话（必须在输出前调用）
• 生成Token建议用bin2hex(random_bytes(32))，避免可预测性
• 将Token存入$_SESSION['csrf_token']，并在表单中添加：
  

提交时严格校验Token

处理表单提交（如POST请求）时，必须比对客户端传入的Token与Session中存储的值：

• 检查$_POST['token']是否存在且非空
• 用hash_equals()进行安全比对（防止时序攻击），例如：
  if (!hash_equals($_SESSION['csrf_token'], $_POST['token'])) { die('Invalid CSRF token'); }
• 校验通过后，立即刷新Token（可选但推荐）：重新生成并覆盖$_SESSION['csrf_token']

合理设置Token作用域和生命周期

Token不是一劳永逸，需结合业务控制其有效范围：

• 敏感操作（如修改密码、转账）应使用独立Token，不与其他页面共用
• Token可绑定当前用户ID和IP片段（如sha1($user_id . substr($_SERVER['REMOTE_ADDR'], 0, 7))），增加伪造难度
• Session过期或用户登出时，务必清空$_SESSION['csrf_token']
• 避免在URL中传递Token（易被日志、Referer泄露）

配合其他基础防护更稳妥

CSRF防护不能单靠Token，需叠加常规安全措施：

• 敏感操作统一走POST，禁用GET执行状态变更（如/delete?id=123）
• 设置SameSite=Lax或Strict的Cookie属性（PHP 7.3+ 可用session_set_cookie_params(['samesite' => 'Lax'])）
• 对AJAX请求，在请求头中携带Token（如X-CSRF-Token），后端从$_SERVER['HTTP_X_CSRF_TOKEN']读取校验

基本上就这些。关键不是代码多复杂，而是每次状态变更都强制走Token校验，不跳过、不硬编码、不复用旧Token。

# php  # ajax  # cookie  # 编码  # session  # 后端  # 作用域  # 表单提交  # csrf  # if 

相关文章： 如何通过.red域名打造高辨识度品牌网站？  如何通过西部建站助手安装IIS服务器？  视频网站app制作软件,有什么好的视频聊天网站或者软件？  北京的网站制作公司有哪些,哪个视频网站最好？  如何快速建站并高效导出源代码？  攀枝花网站建设,攀枝花营业执照网上怎么年审？  建站主机选购指南：核心配置优化与品牌推荐方案  如何高效利用亚马逊云主机搭建企业网站？  平台云上自助建站如何快速打造专业网站？  专业网站建设制作报价,网页设计制作要考什么证？  宝盒自助建站智能生成技巧：SEO优化与关键词设置指南  网站建设制作需要多少钱费用,自己做一个网站要多少钱，模板一般多少钱？  高防服务器：AI智能防御DDoS攻击与数据安全保障  专业企业网站设计制作公司,如何理解商贸企业的统一配送和分销网络建设？  百度网页制作网站有哪些,谁能告诉我百度网站是怎么联系？  智能起名网站制作软件有哪些,制作logo的软件？  如何选择可靠的免备案建站服务器？  怀化网站制作公司,怀化新生儿上户网上办理流程？  头像制作网站在线观看,除了站酷，还有哪些比较好的设计网站？  宁波自助建站系统如何快速打造专业企业网站？  武汉网站如何制作,黄黄高铁武穴北站途经哪些村庄？  外贸公司网站制作,外贸网站建设一般有哪些步骤？  如何快速启动建站代理加盟业务？  如何用5美元大硬盘VPS安全高效搭建个人网站？  如何在宝塔面板中创建新站点？  如何确认建站备案号应放置的具体位置？  番禺网站制作公司哪家值得合作,番禺图书馆新馆开放了吗？  SQL查询语句优化的实用方法总结  如何在云主机上快速搭建多站点网站？  香港服务器如何优化才能显著提升网站加载速度？  行程制作网站有哪些,第三方机票电子行程单怎么开？  外汇网站制作流程,如何在工商银行网站上做外汇买卖？  如何通过建站之星自助学习解决操作问题？  php条件判断怎么写_ifelse和switchcase的使用区别【对比】  如何在Golang中指定模块版本_使用go.mod控制版本号  建站上市公司网站建设方案与SEO优化服务定制指南  免费视频制作网站,更新又快又好的免费电影网站？  建站之星安装路径如何正确选择及配置？  如何处理“XML格式不正确”错误 常见XML well-formed问题解决方法  招贴海报怎么做,什么是海报招贴？  建站主机服务器选型指南与性能优化方案解析  全景视频制作网站有哪些,全景图怎么做成网页？  如何选择高效便捷的WAP商城建站系统？  金*站制作公司有哪些,金华教育集团官网？  免费制作海报的网站,哪位做平面的朋友告诉我用什么软件做海报比较好?ps还是cd还是ai这几个软件我都会些我是做网页的？  开心动漫网站制作软件下载,十分开心动画为何停播？  公司门户网站制作公司有哪些,怎样使用wordpress制作一个企业网站？  实例解析Array和String方法  历史网站制作软件,华为如何找回被删除的网站？  建站主机如何选？高性价比方案全解析