コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP 入門: クロスサイト リクエスト フォージェリ (CSRF)

PHPz
リリース: 2023-05-21 08:18:01
オリジナル
938 人が閲覧しました

PHP は、Web 開発で広く使用されているオープンソース スクリプト言語です。しかし、サイバー犯罪の増加に伴い、セキュリティは Web アプリケーション設計における重要な考慮事項の 1 つとなっています。クロスサイト リクエスト フォージェリ (CSRF) 攻撃は、ネットワーク セキュリティの一般的な脆弱性の 1 つです。この記事は、PHP 初心者向けに CSRF の入門ガイドを提供することを目的としています。

CSRF 攻撃は、ブラウザ内に存在する信頼関係を利用してユーザーのリクエストを偽造する攻撃です。この攻撃は通常、ユーザーが悪意のある Web サイトまたは無許可の Web サイトにアクセスしたときに発生します。攻撃者は、悪意のある Web サイトに偽の HTML フォームを挿入し、フォームの操作アドレスを被害者が信頼する Web サイトに設定します。ユーザーがだまされてフォームを送信すると、ブラウザは被害者の Cookie を含むリクエストを信頼できる Web サイトに自動的に送信し、攻撃を開始します。攻撃者はこの方法で、スパムの投稿、ユーザーのパスワードの変更、ユーザーの知らないうちにブラックリストにユーザーを追加するなど、多くの悪意のあるアクションを実行する可能性があります。

PHP では、CSRF 攻撃を防ぐベスト プラクティスは、トークン検証メカニズムを使用することです。このメカニズムにより、アプリケーションは一意のランダムなトークン値を生成し、それをすべての HTML フォームに埋め込み、フォーム送信時に値を検証することができます。期限切れのトークン値が送信された場合、アプリケーションはリクエストを拒否し、ユーザーに再認証を求める必要があります。

以下は、CSRF 攻撃を防ぐためにトークン検証メカニズムを実装する方法を示す基本的な PHP コード例です。 

<?php
// 生成token值
$token = md5(uniqid(mt_rand(), true));

// 将token存储到SESSION变量中
$_SESSION['csrf_token'] = $token;

// 将token值嵌入到HTML表单中
echo '<form action="process_form.php" method="POST">';
echo '<label for="username">Username:</label>';
echo '<input type="text" id="username" name="username">';
echo '<label for="password">Password:</label>';
echo '<input type="password" id="password" name="password">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="submit" value="Submit">';
echo '</form>';

// 处理表单数据并验证token值
if(isset($_POST['username']) && isset($_POST['password'])) {
    // 验证token值
    if($_POST['csrf_token'] == $_SESSION['csrf_token']) {
        // 处理表单数据
        $username = $_POST['username'];
        $password = $_POST['password'];
        // ...
    } else {
        echo 'Invalid token value. Please try again.';
    }
}
?>
ログイン後にコピー

コード実装では、最初に md5(uniqid(mt_rand( ), true))関数はランダムなトークン値を生成し、それを SESSION 変数に格納し、HTML フォームに埋め込みます。フォーム データが送信されると、アプリケーションは POST リクエストのトークン値が SESSION のトークン値と一致することを検証します。一致する場合、フォーム データの送信が許可されます。一致しない場合、要求は拒否され、ユーザーは再認証を求められます。

もちろん、実際のアプリケーションでは、デジタル署名を使用して各フォーム要求を検証するなど、他の CSRF 防御手法もあります。ただし、上記のトークン検証メカニズムはシンプルで効果的な方法であり、PHP 開発にお勧めする価値があります。

つまり、CSRF 攻撃は一般的で危険なネットワーク セキュリティの脆弱性です。 PHP アプリケーションの設計者は、ベスト プラクティスに従って、アプリケーションがこの種の攻撃から確実に保護されるようにする必要があります。シンプルかつ効果的な方法は、トークン検証メカニズムを使用して、各フォーム要求が信頼できるユーザーによって開始されたことを確認することです。

以上がPHP 入門: クロスサイト リクエスト フォージェリ (CSRF)の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php スタートガイド クロスサイト リクエスト フォージェリ (csrf)
ソース:php.cn
前の記事:PHP でのオンライン ビジネス マーケットプレイス開発ガイド 次の記事:PHPで大きなファイルのアップロードとダウンロードを実装する方法
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート