在我的表单中我有一个隐藏字段:函数来设置的auth_token
<input type="hidden" name="auth_token" value="<?php echo $auth_token; ?>">
此值也存储在一个会话和变量:
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']); # TODO: put this in a function
$auth_token = $_SESSION['auth_token'];
当表单提交两个值进行比较。这是一个基本的表单令牌。
这应该做成两个函数还是只有一个重构? set_form_token()
和get_form_token()
,get_form_token()返回会话值,然后我可以在我的主代码中进行比较。这样做的正确方法是什么?
编辑:
同时考虑乔尔L和RobertPitt的答案,我做这些:
function set_auth_token()
{
if (!isset($_SESSION['auth_token']))
{
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
}
function get_auth_token()
{
if (isset($_SESSION['auth_token']))
{
return $_SESSION['auth_token'];
}
else
{
die('No auth token.');
}
}
function check_auth_token()
{
if (array_key_exists('auth_token', $_SESSION) && array_key_exists('auth_token', $_POST))
{
if ($_SESSION['auth_token'] === $_POST['auth_token'])
{
# what happens if user fills the form in wrong first time(?)
$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']);
}
else
{
return false;
}
}
else
{
return false;
}
}
然后我可以检查是否check_auth_token返回false与否,然后记录它的形式已经经过提交。这可以接受吗?
我只需要在两个地方检查(登录和注册),我不打算使用一次性令牌。 – 2011-02-15 17:04:15