消息
创作中心
duankuang1046 2016-02-12 16:02
浏览 39
已采纳

PHP会话令牌用于表单安全性

I have not been able to successfully submit a form I am working on in Chrome or Firefox. The form works in Safari, however.

I just started trying to use PHP last week and modified code from this post on CSS Tricks. I am trying to give the session a random token, store that token in a variable, set that token to a hidden input field, and then make sure the two match when the form is submitted.

The problem is that the session token that is created doesn't match the token assigned as a value to the hidden input. When the form is submitted, a new session token is recreated and thus doesn't match the original random number from the session. The curious thing is that it works in Safari and not other browsers.

The PHP

<?php 
session_start();

function generateFormToken($form) {

    // generate a token from an unique value, took from microtime, you can also use salt-values, other crypting methods...
    $token = md5(uniqid(microtime(), true));  

    // Write the generated token to the session variable to check it against the hidden field when the form is sent
    $_SESSION[$form.'_token'] = $token; 
    echo $token;
    return $token;
}

function verifyFormToken($form) {

    // check if a session is started and a token is transmitted, if not return an error
    if(!isset($_SESSION[$form.'_token'])) { 
        return false;
    }

    // check if the form is sent with token in it
    if(!isset($_POST['token'])) {
        return false;
    }

    // compare the tokens against each other if they are still the same
    if ($_SESSION[$form.'_token'] !== $_POST['token']) {
        return false;
    }

    return true;
}
function check_input($data)
{
    $data = trim($data);
    $data = stripslashes($data);
    $data = htmlspecialchars($data);
    return $data;
  }

if (verifyFormToken('form1')) {
    $name = check_input($_POST["name"]);
    $email = check_input($_POST["emailaddress"]);
    $message = check_input($_POST["message"]);
    $ForwardTo = 'me@gmail.com';
    $details='Name: '.$name."
".'Email: '.$email."
".'Message: '.$message."
";

        //do stuff
    mail($ForwardTo,"Construction of Hope Contact",$details,"From:$email");
}

?>

The related form:

<!--Markup for Contact form-->
        <form action='index.php' method='post' class='contact-format'>


        <p><input type="hidden" name="token" value="<?php echo $newToken; ?>"></p>
        <p>
      <button type="submit" name='submit' class="btn btn-primary button">Send</button>
    </p>

</div>

展开全部

  • 写回答

2条回答 默认 最新

  • dousong2023 2016-02-15 10:11
    关注

    The functionality of my code seemed fine in Safari, but other browsers mismatched the token.

    The issue involved .... not having a favicon.

    This post was the key in solving the problem.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)
编辑
预览

报告相同问题?

  • 实现PHP会话令牌时出现问题 html php
    2018-08-29 07:41
    回答 1 已采纳 There's a few problems with your code: token.php needs to output the token. Which is as simple as
  • PHP LDAP会话持久性 php
    2019-02-04 07:31
    回答 1 已采纳 The problem is not about LDAP, the problem is about HTTP. HTTP is a stateless protocol whereas LD
  • 会话变量间歇性PHP html php
    2018-01-19 12:45
    回答 1 已采纳 SOLVED: In my navigation bar I was using a full URL instead of a relative link, this was causing
  • 解决php表单重复提交实现方法
    2020-12-18 11:23
    这种方法更为可靠,因为它基于一次性的令牌,即使用户刷新页面,之前提交的token也将失效。 总的来说,防止表单重复提交的策略是确保每次表单提交的唯一性,可以结合Session、IP地址记录以及token验证来实现这一...
  • php提交表单php超级全局变量 php
    2017-08-10 22:12
    回答 4 已采纳 这个问题本人解决了,现将问题原因解释一下: 问题:php提交表单失败,就这个问题而言导致提交表单失败的原因实在是太多,后来我发现用get提交成功,当用post提交时才会失败, 就代码本身没用一点错
  • PHP KCFinder会话安全选项 php
    2016-10-27 04:15
    回答 1 已采纳 KCFinder already has this feature built into it. In your login procedure, you should set a session
  • 用于购物车的会话数组在php php
    2017-05-02 04:42
    回答 2 已采纳 Your question is not clear. I think what you want is an array structure like this : <?php $_S
  • php表单加入Token防止重复提交的方法分析
    2020-10-21 00:52
    这个随机字符串被用作一种安全性验证,以确保表单提交行为是由用户主动发起的,防止恶意攻击者通过自动脚本或多次提交相同的表单。 Token的主要作用可以分为两类: 1. 防止表单的重复提交:当用户第一次提交表单后...
  • PHP会话安全 - 金丝雀会话 php
    2016-04-21 01:38
    回答 1 已采纳 The way PHP handles sessions, is to generate a unique session id for each user, and store it in a
  • 表单提交后PHP更新会话 php
    2015-09-15 12:56
    回答 1 已采纳 Finally found a way to get this to work rather than relying on a bunch of kids. The whole time dur
  • 如何在PHP中使用数据会话 php
    2019-03-04 05:15
    回答 1 已采纳 session_start() must be called before any output to the browser. Please update your code on all p
  • PHP 安全:使用 CSRF 令牌防止 XSS 攻击
    2024-04-24 21:00
    新华的博客 在动态的 Web 开发环境中,安全性仍然是一个最重要的问题。跨站点脚本(XSS) 和跨站点请求伪造(CSRF) 是 PHP 开发人员必须解决的两个普遍安全漏洞,以保护其应用程序。本文深入探讨了 XSS 攻击的复杂性,探讨了 ...
  • PHP实现防止表单重复提交功能【基于token验证】
    2020-10-18 04:04
    然后定义两个函数:`set_token()` 用于生成新的token并存储到会话中,`valid_token()` 用于验证提交的token是否有效。 在HTML部分,我们创建了一个包含隐藏token字段的表单。当用户点击提交按钮,表单数据(包括...
  • php提交表单发送邮件的方法
    2020-12-18 13:27
    PHP中,可以创建一个随机的令牌并存储在服务器的会话(session)中,同时将其作为隐藏字段放入表单。当表单提交时,服务器端检查令牌是否匹配,如果不匹配则拒绝请求。 除此之外,还可以通过记录IP地址、设置提交...
  • PHP开发需要注意的安全问题
    2020-10-28 14:14
    PHP开发过程中需要关注的安全问题主要涉及对数据的信任度、PHP配置的安全性、代码的可理解性等几个方面。以下将详细解析这些知识点: 1. 不信任外部数据或输入:这是Web应用安全的核心原则之一。在PHP开发中,不应...
  • 没有解决我的问题, 去提问
手机看
程序员都在用的中文IT技术交流社区

程序员都在用的中文IT技术交流社区

专业的中文 IT 技术社区,与千万技术人共成长

专业的中文 IT 技术社区,与千万技术人共成长

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

关注【CSDN】视频号,行业资讯、技术分享精彩不断,直播好礼送不停!

 客服 返回
顶部