首页 > 文章 > php教程

PHP防止CSRF：Token生成与验证详解

时间：2026-02-23 20:25:58 473浏览收藏

本文深入讲解了PHP中防范CSRF攻击的核心实践，强调必须在生成Token前显式调用session_start()以确保$_SESSION['csrf_token']正确持久化，避免因会话未启动导致的验证失败；指出Token必须使用密码学安全的random_bytes()生成（如bin2hex(random_bytes(32))），严禁使用可预测的time()、uniqid()或非加密安全的随机函数；校验时须采用hash_equals()抵御时序攻击，并在失败时立即终止执行；同时提醒开发者注意所有具备副作用的请求（包括GET删除类操作）均需Token防护，不可仅限于POST表单——这些看似细微却极易踩坑的关键点，正是构建健壮Web安全防线的基石。

php怎么防止CSRF攻击_php生成和验证Token防护机制【安全】

PHP 中 `session_start()` 必须在 Token 生成前调用

CSRF 防护依赖服务端状态，而 PHP 的 $_SESSION 是最常用、最轻量的存储载体。没调用 session_start() 就写 $_SESSION['csrf_token']，值根本不会持久化——表单提交时验证必然失败。

常见错误现象：Undefined index: csrf_token 或每次刷新页面 Token 都变（其实是没存进去，每次都新生成）。

必须确保 session_start() 出现在脚本最开头（或至少在任何输出、header 发送前）
不要在包含文件里“悄悄”启动 session，主逻辑文件也要显式调用
如果用了 Composer 自动加载或框架路由，检查中间件是否已启 session；没启就自己加

生成 Token 要用 `random_bytes()`，别用 `md5(time())` 或 `uniqid()`

Token 弱等于开门揖盗。md5(time()) 可被预测，uniqid() 基于微秒+进程 ID，熵极低，自动化工具几秒就能爆破。

正确做法是用密码学安全的随机源：

PHP 7+ 直接用 bin2hex(random_bytes(32))（64 字符十六进制字符串）
避免用 mt_rand() 或 rand()，它们不是加密安全的
生成后立即存入 $_SESSION['csrf_token']，并设为只读（不暴露给 JS 或 URL）

示例：

$token = bin2hex(random_bytes(32));<br>$_SESSION['csrf_token'] = $token;

表单里放隐藏字段 `csrf_token`，但别漏掉 `POST` 和 `GET` 混用场景

很多人只在 POST 表单加 Token，却忽略 GET 请求也能触发状态变更（比如 /delete?id=123）。只要接口有副作用，就必须校验。

使用场景差异：

HTML 表单：用 <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token'] ?? ''); ?>">
AJAX 请求：把 Token 放在请求头（如 X-CSRF-Token），后端从 getallheaders() 或 $_SERVER['HTTP_X_CSRF_TOKEN'] 读取
GET 接口：必须把 Token 作为查询参数传（如 ?csrf_token=abc123），并在服务端统一验证

注意：htmlspecialchars() 必须加，防止 XSS 破坏隐藏字段结构。