


Décrivez le concept de CSRF et comment se protéger contre cela en PHP
Jul 13, 2025 am 02:53 AMLes attaques CSRF sont utilisées pour simuler les demandes en utilisant l'identité connectée par l'utilisateur. Plus précisément, l'attaquant induit les utilisateurs à accéder aux sites Web malveillants, envoie des demandes au nom de l'utilisateur à l'insu de l'utilisateur et effectue des opérations non intentionnelles. Un moyen courant d'empêcher le CSRF consiste à utiliser le mécanisme de jeton CSRF, 1. Générer un jeton aléatoire unique; 2. Enregistrez le jeton dans la session et formez des champs cachés; 3. Comparez si les deux sont cohérents lors de la soumission. D'autres méthodes de protection incluent la vérification de l'en-tête du référence, la définition de l'attribut Cookie Samesite et l'introduction d'un mécanisme de code de vérification. Les points faciles à ignorer incluent la demande Ajax et non le jeton, la génération de jetons est dangereuse et le stockage de jetons dans les cookies incorrectement. La bonne fa?on de le faire est de simplement stocker le jeton dans la session et de le passer à travers les champs cachés.
Le CSRF (contrefa?on de demande croisée) est une vulnérabilité de sécurité Web courante. En incitant les utilisateurs à accéder aux sites Web malveillants, l'attaquant envoie des demandes au site Web cible au nom de l'utilisateur à l'insu de l'utilisateur et effectue des opérations non intentionnelles, telles que la modification du mot de passe, le transfert, etc.

La raison pour laquelle cette attaque réussit est que le navigateur apportera automatiquement des informations sur les cookies liées au site Web cible lors de l'envoi d'une demande. Tant que l'utilisateur s'est connecté au site Web auparavant et n'a pas été déconnecté, l'attaquant peut "imiter" l'utilisateur pour fonctionner.
Qu'est-ce qu'une attaque CSRF?
Autrement dit, CSRF utilise l'identité de connexion de l'utilisateur pour initier secrètement une demande. Par exemple:

- L'utilisateur s'est connecté à une banque Bank
bank.com
- L'attaquant induit l'utilisateur à accéder à une page malveillante avec un formulaire caché à l'intérieur, et l'adresse de soumission est
bank.com/transfer
- Une fois le formulaire soumis automatiquement, le serveur effectue l'opération de transfert car l'utilisateur est toujours connecté.
L'ensemble du processus peut ne pas être conscient de celui-ci, mais l'opération a été achevée par l'attaquant.
Comment empêcher les attaques du CSRF en PHP?
Le moyen le plus courant et le plus efficace d'empêcher le CSRF dans PHP est d'utiliser le mécanisme de jeton CSRF . Les étapes spécifiques sont les suivantes:

- Générer un jeton aléatoire unique à chaque fois que le formulaire est généré
- Enregistrez le jeton dans les champs cachés de la session et formez en même temps
- Lors de la soumission d'un formulaire, si le jeton de la session et le jeton soumis sont cohérents.
Si les deux sont incohérents, cela signifie que la source de la demande n'est pas fiable et que le traitement est directement refusé.
Par exemple:
// Générer un jeton et le stocker en session if (vide ($ _ session ['csrf_token'])) { $ _Session ['csrf_token'] = bin2hex (random_bytes (50)); } // intégrer le jeton lors de la sortie du formulaire echo '<input type = "Hidden" name = "csrf_token" value = "'. $ _Session ['csrf_token']. '">'; // Vérifiez le jeton lors de la soumission du processus if ($ _post ['csrf_token']! == $ _Session ['csrf_token']) { mourir (?demande illégale?); }
Cette méthode peut effectivement empêcher la contrefa?on de demande de domaine croisé, car l'attaquant ne peut pas obtenir la valeur de jeton dans la page actuelle de l'utilisateur.
Quelles autres mesures de protection y a-t-il?
En plus des jetons, la protection peut être renforcée en combinaison avec les méthodes suivantes:
-
Consultez l'en-tête du référence : assurez-vous que la demande provient de votre propre site Web
Remarque: Certains navigateurs ou paramètres de confidentialité peuvent bloquer le référence et ne peuvent pas compter sur lui seul
-
Attribut de cookie Samesite : Réglez le cookie sur
SameSite=Strict
ouLax
De cette fa?on, le navigateur ne portera pas de cookies dans les demandes de site croisé, réduisant les risques de la source
-
Mécanisme de code de vérification : pour les opérations très sensibles (comme la modification des mots de passe), ajoutez le code de vérification pour confirmer
Bien que l'expérience utilisateur soit légèrement médiocre, la sécurité est plus élevée
Ces méthodes peuvent être utilisées en complément du mécanisme de jeton pour former un système de défense multicouche.
Quels sont les endroits faciles à ignorer?
Parfois, les développeurs n'utilisent que des jetons sous forme, mais oubliez de les ajouter dans les demandes de l'Ajax, ce qui laisse une vulnérabilité.
De plus, le jeton doit être suffisamment aléatoire et imprévisible pour être épissé avec des horodatages ou des cordes simples.
Certaines personnes stockent également des jetons dans les cookies, ce qui n'est pas s?r, car les demandes de site transversal peuvent également lire les cookies.
La bonne fa?on est d'exister uniquement dans la session et de le passer à l'extrémité avant à travers des champs cachés.
Fondamentalement, c'est tout. La protection du CSRF n'est en fait pas compliquée, mais si les détails ne sont pas effectués correctement, il est facile d'être brisé.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Outils d'IA chauds

Undress AI Tool
Images de déshabillage gratuites

Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes

AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.

Clothoff.io
Dissolvant de vêtements AI

Video Face Swap
échangez les visages dans n'importe quelle vidéo sans effort grace à notre outil d'échange de visage AI entièrement gratuit?!

Article chaud

Outils chauds

Bloc-notes++7.3.1
éditeur de code facile à utiliser et gratuit

SublimeText3 version chinoise
Version chinoise, très simple à utiliser

Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP

Dreamweaver CS6
Outils de développement Web visuel

SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)

Les problèmes et les solutions courants pour la portée de la variable PHP incluent: 1. La variable globale ne peut pas être accessible dans la fonction, et elle doit être transmise en utilisant le mot-clé ou le paramètre global; 2. La variable statique est déclarée avec statique, et elle n'est initialisée qu'une seule fois et la valeur est maintenue entre plusieurs appels; 3. Des variables hyperglobales telles que $ _get et $ _post peuvent être utilisées directement dans n'importe quelle portée, mais vous devez faire attention au filtrage s?r; 4. Les fonctions anonymes doivent introduire des variables de portée parents via le mot clé Utiliser, et lorsque vous modifiez les variables externes, vous devez passer une référence. La ma?trise de ces règles peut aider à éviter les erreurs et à améliorer la stabilité du code.

Pour gérer en toute sécurité les téléchargements de fichiers PHP, vous devez vérifier la source et taper, contr?ler le nom et le chemin du fichier, définir les restrictions du serveur et traiter les fichiers multimédias deux fois. 1. Vérifiez la source de téléchargement pour empêcher le CSRF via le jeton et détecter le type de mime réel via FINFO_FILE en utilisant le contr?le de liste blanche; 2. Renommez le fichier à une cha?ne aléatoire et déterminez l'extension pour la stocker dans un répertoire non Web en fonction du type de détection; 3. La configuration PHP limite la taille de téléchargement et le répertoire temporaire Nginx / Apache interdit l'accès au répertoire de téléchargement; 4. La bibliothèque GD résait les images pour effacer des données malveillantes potentielles.

Il existe trois méthodes courantes pour le code de commentaire PHP: 1. Utiliser // ou # pour bloquer une ligne de code, et il est recommandé d'utiliser //; 2. Utiliser /.../ pour envelopper des blocs de code avec plusieurs lignes, qui ne peuvent pas être imbriquées mais peuvent être croisées; 3. Compétences combinées Commentaires tels que l'utilisation / if () {} / pour contr?ler les blocs logiques, ou pour améliorer l'efficacité avec les touches de raccourci de l'éditeur, vous devez prêter attention aux symboles de fermeture et éviter les nidification lorsque vous les utilisez.

AgeneratorInphpisamemory-EfficientwaytoterateOrgedatasetsByyieldingValuesonEatatimeIntedofreturningThemallAtonce.1.GeneratorsUsEtheieldKeywordToproduceValuesondemand, ReducingMemoryUsage.2.TheyAreusefulForHandlingBigloops, ReadingLargeFiles, OR OR.

La clé pour rédiger des commentaires PHP est de clarifier l'objectif et les spécifications. Les commentaires devraient expliquer "pourquoi" plut?t que "ce qui a été fait", en évitant la redondance ou trop de simplicité. 1. Utilisez un format unifié, tel que DocBlock (/ * /) pour les descriptions de classe et de méthode afin d'améliorer la lisibilité et la compatibilité des outils; 2. Soulignez les raisons de la logique, telles que pourquoi les sauts JS doivent être sortis manuellement; 3. Ajoutez une description d'une vue d'ensemble avant le code complexe, décrivez le processus dans les étapes et aidez à comprendre l'idée globale; 4. Utilisez TODO et FIXME Rationalement pour marquer des éléments et des problèmes de taches pour faciliter le suivi et la collaboration ultérieurs. De bonnes annotations peuvent réduire les co?ts de communication et améliorer l'efficacité de la maintenance du code.

Toléarnphpeffective, startBySettingUpAlocalServerERironmentUsingToolsLILYXAMPPANDACODEDITERLIGHILLEVSCODE.1) INSTRUSITIONXAMPFORAPACHE, MYSQL, ANDPHP.2) USACODEDEDITORFORSYNTAXSUPPORT.3)

En PHP, vous pouvez utiliser des crochets ou des accolades bouclées pour obtenir des caractères d'index spécifiques à la cha?ne, mais les crochets sont recommandés; L'index commence à partir de 0 et l'accès à l'extérieur de la plage renvoie une valeur nulle et ne peut pas se voir attribuer une valeur; MB_substr est nécessaire pour gérer les caractères multi-octets. Par exemple: $ str = "Hello"; echo $ str [0]; sortie h; et les caractères chinois tels que MB_substr ($ str, 1,1) doivent obtenir le résultat correct; Dans les applications réelles, la longueur de la cha?ne doit être vérifiée avant le boucle, les cha?nes dynamiques doivent être vérifiées pour la validité et les projets multilingues recommandent d'utiliser des fonctions de sécurité multi-octets uniformément.

Toinstallphpquickly, usexAmpPonWindowsorHomebrewonMacos.1.onwindows, downloadAndInstallxAmppp, selectComponents, startapache et placefilesInhtdocs.2.
