PHP防CSRF核心是生成并校验一次性令牌:通过session_start()开启会话,用bin2hex(random_bytes(32))生成Token存入$_SESSION['csrf_token']并嵌入表单隐藏域;提交时用hash_equals()比对$_POST['token']与Session中值,校验后建议刷新Token;Token应绑定用户ID/IP片段、避免URL传递,并配合POST操作、SameSite Cookie及AJAX头校验等措施。
PHP防止跨站请求伪造(CSRF)的核心是为每个敏感操作生成并校验一次性令牌(Token),确保请求来自用户本人的合法页面,而非第三方伪造的表单或链接。
生成并嵌入CSRF Token
在显示表单的PHP页面中,生成随机、不可预测的Token,并存入用户Session,同时作为隐藏字段写入表单:
- 使用session_start()开启会话(必须在输出前调用)
- 生成Token建议用bin2hex(random_bytes(32)),避免可预测性
- 将Token存入$_SESSION['csrf_token'],并在表单中添加:
提交时严格校验Token
处理表单提交(如POST请求)时,必须比对客户端传入的Token与Session中存储的值:
- 检查$_POST['token']是否存在且非空
- 用hash_equals()进行安全比对(防止时序攻击),例如:
if (!hash_equals($_SESSION['csrf_token'], $_POST['token'])) { die('Invalid CSRF token'); } - 校验通过后,立即刷新Token(可选但推荐):重新生成并覆盖$_SESSION['csrf_token']
合理设置Token作用域和生命周期
Token不是一劳永逸,需结合业务控制其有效范围:
立即学习“PHP免费学习笔记(深入)”;
- 敏感操作(如修改密码、转账)应使用独立Token,不与其他页面共用
- Token可绑定当前用户ID和IP片段(如sha1($user_id . substr($_SERVER['REMOTE_ADDR'], 0, 7))),增加伪造难度
- Session过期或用户登出时,务必清空$_SESSION['csrf_token']
- 避免在URL中传递Token(易被日志、Referer泄露)
配合其他基础防护更稳妥
CSRF防护不能单靠Token,需叠加常规安全措施:
- 敏感操作统一走POST,禁用GET执行状态变更(如/delete?id=123)
- 设置SameSite=Lax或Strict的Cookie属性(PHP 7.3+ 可用session_set_cookie_params(['samesite' => 'Lax']))
- 对AJAX请求,在请求头中携带Token(如X-CSRF-Token),后端从$_SERVER['HTTP_X_CSRF_TOKEN']读取校验
基本上就这些。关键不是代码多复杂,而是每次状态变更都强制走Token校验,不跳过、不硬编码、不复用旧Token。
