PHP防止跨站请求伪造方法_PHP CSRF保护使用说明-php教程-PHP中文网

PHP防止跨站请求伪造方法_PHP CSRF保护使用说明

冰川箭仙

发布： 2025-12-18 15:13:02

原创

555人浏览过

PHP防CSRF核心是生成并校验一次性令牌：通过session_start()开启会话，用bin2hex(random_bytes(32))生成Token存入$_SESSION['csrf_token']并嵌入表单隐藏域；提交时用hash_equals()比对$_POST['token']与Session中值，校验后建议刷新Token；Token应绑定用户ID/IP片段、避免URL传递，并配合POST操作、SameSite Cookie及AJAX头校验等措施。

php防止跨站请求伪造方法_php csrf保护使用说明

PHP防止跨站请求伪造（CSRF）的核心是为每个敏感操作生成并校验一次性令牌（Token），确保请求来自用户本人的合法页面，而非第三方伪造的表单或链接。

生成并嵌入CSRF Token

在显示表单的PHP页面中，生成随机、不可预测的Token，并存入用户Session，同时作为隐藏字段写入表单：

使用session_start()开启会话（必须在输出前调用）
生成Token建议用bin2hex(random_bytes(32))，避免可预测性
将Token存入$_SESSION['csrf_token']，并在表单中添加：

提交时严格校验Token

处理表单提交（如POST请求）时，必须比对客户端传入的Token与Session中存储的值：

检查$_POST['token']是否存在且非空
用hash_equals()进行安全比对（防止时序攻击），例如：
if (!hash_equals($_SESSION['csrf_token'], $_POST['token'])) { die('Invalid CSRF token'); }
校验通过后，立即刷新Token（可选但推荐）：重新生成并覆盖$_SESSION['csrf_token']

合理设置Token作用域和生命周期

Token不是一劳永逸，需结合业务控制其有效范围：

GentleAI

GentleAI是一个高效的AI工作平台，为普通人提供智能计算、简单易用的界面和专业技术支持。让人工智能服务每一个人。

查看详情

立即学习“PHP免费学习笔记（深入）”；

敏感操作（如修改密码、转账）应使用独立Token，不与其他页面共用
Token可绑定当前用户ID和IP片段（如sha1($user_id . substr($_SERVER['REMOTE_ADDR'], 0, 7))），增加伪造难度
Session过期或用户登出时，务必清空$_SESSION['csrf_token']
避免在URL中传递Token（易被日志、Referer泄露）

配合其他基础防护更稳妥

CSRF防护不能单靠Token，需叠加常规安全措施：

敏感操作统一走POST，禁用GET执行状态变更（如/delete?id=123）
设置SameSite=Lax或Strict的Cookie属性（PHP 7.3+ 可用session_set_cookie_params(['samesite' => 'Lax'])）
对AJAX请求，在请求头中携带Token（如X-CSRF-Token），后端从$_SERVER['HTTP_X_CSRF_TOKEN']读取校验