PHP防范CSRF攻击技巧全解析

学习知识要善于思考，思考，再思考！今天golang学习网小编就给大家带来《PHP防止CSRF攻击方法详解》，以下内容主要包含等知识点，如果你正在学习或准备学习文章，就都不要错过本文啦~让我们一起来看看吧，能帮助到你就更好了！

PHP防CSRF核心是生成并校验一次性令牌：通过session_start()开启会话，用bin2hex(random_bytes(32))生成Token存入$_SESSION['csrf_token']并嵌入表单隐藏域；提交时用hash_equals()比对$_POST['token']与Session中值，校验后建议刷新Token；Token应绑定用户ID/IP片段、避免URL传递，并配合POST操作、SameSite Cookie及AJAX头校验等措施。

PHP防止跨站请求伪造（CSRF）的核心是为每个敏感操作生成并校验一次性令牌（Token），确保请求来自用户本人的合法页面，而非第三方伪造的表单或链接。

生成并嵌入CSRF Token

在显示表单的PHP页面中，生成随机、不可预测的Token，并存入用户Session，同时作为隐藏字段写入表单：

• 使用session_start()开启会话（必须在输出前调用）
• 生成Token建议用bin2hex(random_bytes(32))，避免可预测性
• 将Token存入$_SESSION['csrf_token']，并在表单中添加：
  <input type="hidden" name="token" value="= htmlspecialchars($_SESSION['csrf_token']) ?>">

提交时严格校验Token

处理表单提交（如POST请求）时，必须比对客户端传入的Token与Session中存储的值：

• 检查$_POST['token']是否存在且非空
• 用hash_equals()进行安全比对（防止时序攻击），例如：
  if (!hash_equals($_SESSION['csrf_token'], $_POST['token'])) { die('Invalid CSRF token'); }
• 校验通过后，立即刷新Token（可选但推荐）：重新生成并覆盖$_SESSION['csrf_token']

合理设置Token作用域和生命周期

Token不是一劳永逸，需结合业务控制其有效范围：

• 敏感操作（如修改密码、转账）应使用独立Token，不与其他页面共用
• Token可绑定当前用户ID和IP片段（如sha1($user_id . substr($_SERVER['REMOTE_ADDR'], 0, 7))），增加伪造难度
• Session过期或用户登出时，务必清空$_SESSION['csrf_token']
• 避免在URL中传递Token（易被日志、Referer泄露）

配合其他基础防护更稳妥

CSRF防护不能单靠Token，需叠加常规安全措施：

• 敏感操作统一走POST，禁用GET执行状态变更（如/delete?id=123）
• 设置SameSite=Lax或Strict的Cookie属性（PHP 7.3+ 可用session_set_cookie_params(['samesite' => 'Lax'])）
• 对AJAX请求，在请求头中携带Token（如X-CSRF-Token），后端从$_SERVER['HTTP_X_CSRF_TOKEN']读取校验

基本上就这些。关键不是代码多复杂，而是每次状态变更都强制走Token校验，不跳过、不硬编码、不复用旧Token。

以上就是本文的全部内容了，是否有顺利帮助你解决问题？若是能给你带来学习上的帮助，请大家多多支持golang学习网！更多关于文章的相关知识，也可关注golang学习网公众号。