PHP/MySQL | CSRF
EseninLive 
TJersy 
CreepMatis (10.07.2015 в 22:00)
TJersy, Т.е. так:
В форме делаешь скрытое поле token со значение $token. После записываешь в сессию, или как там) Проверяешь:
TJersy, Т.е. так:
$token = md5(uniqid(time()));
В форме делаешь скрытое поле token со значение $token. После записываешь в сессию, или как там) Проверяешь:
if($token != $_POST['token']){
exit;
} Это я знаю :) Я о другом.
В УИИ пример защиты от CSRF также в ларавельке.
А нельзя в шапке сайта генерировать хэш и подставлять его в нужную форму?
Думаю, так практичнее.
Думаю, так практичнее.
TJersy, Тоже можно)
CreepMatis CreepMatis (10.07.2015 в 22:07)
TJersy, Тоже можно)
TJersy, Тоже можно)
На тостере написано во как:
Токен достаточно иметь один на сессию. При несовпадении токена надо показать сообщение «Произошла ошибка. Пожалуйста, проверьте введенные данные, и отправьте форму еще раз».
Естественно, сообщение надо показать вместе с формой с заполненными данными, а не на пустой стрнаице.
GET-формы, не вносящие изменений в базу данных, вроде формы поиска, не надо защищать.
Ответ написан более года назад
Естественно, сообщение надо показать вместе с формой с заполненными данными, а не на пустой стрнаице.
GET-формы, не вносящие изменений в базу данных, вроде формы поиска, не надо защищать.
Ответ написан более года назад
Стр.: 1, 2