CSRF Token PHP

### PHP中实现和使用CSRF Token

为了有效防御跨站请求伪造（CSRF），在PHP应用程序中引入CSRF Tokens是非常必要的。这些Tokens是一次性的随机字符串，在表单提交或其他HTTP POST操作时附加到请求中，从而验证该请求确实源自合法页面而非第三方恶意站点。

#### 创建唯一的Token并存储于Session

当用户首次访问涉及敏感数据变更的网页时，服务器端应生成一个独一无二的Token，并将其保存至当前用户的session变量中：

<?php
// 启动会话管理
if (!isset($_SESSION)) {
    session_start();
}

// 如果尚未创建，则初始化新的CSRF token
if(!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}
?>

此代码片段确保每次新打开页面都会有一个独特的CSRF令牌被分配给特定用户会话[^1]。

#### 将Token嵌入HTML表单

为了让客户端能够随同POST请求一起发送这个Token，需要将它加入到每一个可能受到CSRF影响的数据提交界面中去：

<form action="process.php" method="post">
    <!-- 隐藏域用于携带CSRF token -->
    <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
    
    <!-- 正常输入框和其他控件 -->
</form>

上述方法通过隐藏字段的方式把之前产生的Token传递给了前端浏览器，使得后续任何基于表单的动作都能带上这一重要凭证[^2]。

#### 检查收到的Token有效性

最后一步是在处理POST请求的服务端脚本里校验传回来的Token是否匹配预期值。只有当二者一致时才允许继续执行业务逻辑；反之则拒绝服务或提示错误信息：

<?php
// 继续保持之前的会话环境
session_start();

// 获取来自表单提交中的CSRF token
$submittedToken = isset($_POST['csrf_token']) ? $_POST['csrf_token'] : '';

// 对比已知的安全token与接收到的内容
if ($submittedToken !== $_SESSION['csrf_token']) {
    die('Invalid or missing CSRF token.');
} else {
    // 成功验证后的正常流程...
}
?>

这种机制可以有效地阻止未经许可的外部实体冒充真实用户发起非法指令，因为它们无法得知有效的CSRF Token是什么样的[^3]。