在我的表單中我有一個隱藏字段:函數來設置的auth_token
<input type="hidden" name="auth_token" value="<?php echo $auth_token; ?>">
此值也存儲在一個會話和變量:
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']); # TODO: put this in a function
$auth_token = $_SESSION['auth_token'];
當表單提交兩個值進行比較。這是一個基本的表單令牌。
這應該做成兩個函數還是隻有一個重構? set_form_token()
和get_form_token()
,get_form_token()返回會話值,然後我可以在我的主代碼中進行比較。這樣做的正確方法是什麼?
編輯:
同時考慮喬爾L和RobertPitt的答案,我做這些:
function set_auth_token()
{
if (!isset($_SESSION['auth_token']))
{
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
}
function get_auth_token()
{
if (isset($_SESSION['auth_token']))
{
return $_SESSION['auth_token'];
}
else
{
die('No auth token.');
}
}
function check_auth_token()
{
if (array_key_exists('auth_token', $_SESSION) && array_key_exists('auth_token', $_POST))
{
if ($_SESSION['auth_token'] === $_POST['auth_token'])
{
# what happens if user fills the form in wrong first time(?)
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
else
{
return false;
}
}
else
{
return false;
}
}
然後我可以檢查是否check_auth_token返回false與否,然後記錄它的形式已經經過提交。這可以接受嗎?
我只需要在兩個地方檢查(登錄和註冊),我不打算使用一次性令牌。 – 2011-02-15 17:04:15