PHP CSRF Forme de jeton + validation des conseils
J'ai un formulaire de soumission, avec 9 champs, 6 qui nécessitent une validation, y compris un champ de téléchargement avec une taille de fichier de fichier et le type de validation.
La génération d'un jeton aléatoire, pour éviter CSRF est au travail, mais quelle est la façon correcte de le valider lors de l'utilisation d'un jeton?
Si je ne la validation dans le même fichier, le jeton est régénérée avec la validation de la recharger. (cela peut-il être évité? J'ai essayé isset()
mais encore se régénère.) Toutefois, en utilisant le même fichier empêche les utilisateurs Nom et l'adresse Électronique d'être stockées dans une session.
Est-il préférable de faire de la validation dans un fichier séparé, qui redirige ensuite vers le formulaire de base des variables dans l'URL pour chaque erreur, c'est à dire http://www.example.com/form?n=1
À l'aide d'un fichier séparé permettrait également de stocker les données du formulaire à l'intérieur de session, de sorte que le formulaire peut être rempli à nouveau si des erreurs existent sur la redirection.
Toute aide reçue avec gratitude.
OriginalL'auteur Chris Eagle | 2011-06-30
Vous devez vous connecter pour publier un commentaire.
J'ai trouvé cet article, par Chris très bonne explication de ce qu'est CSRF est, et comment vous protéger contre elle.
md5(uniqid(rand(), TRUE));
ne devrait pas être digne de confiance pour les contextes de sécurité. stackoverflow.com/a/31683058/4357238OriginalL'auteur Alfred
Ces articles peuvent vous aider à:
OriginalL'auteur Yves Lange
De l'expérience, CodeIgntier grande CSRF la mise en œuvre, parmi d'autres mesures de sécurité. Je vous suggère d'aller sur leur code d'acquérir une bonne compréhension de l'ensemble du processus. Voir aussi cette.
OriginalL'auteur Sukumar