PHP安全问题入门：10个常见安全问题+实例讲解

由于攻击者无法知道 Token 令牌的内容（每个表单的 Token 令牌都是随机的），因此无法冒充用户。

<?php /* 你嵌入表单的页面 */ ?>  
<form action="/delete-account.php" method="post">  
  <input type="hidden" name="csrf" value="<?php echo $_SESSION['csrf']; ?>">  
  <input type="hidden" name="confirm" value="yes" />  
  <input type="submit" value="Delete my account" />  
</form>  
##   
<?php  
//delete-account.php  
$confirm = $_POST['confirm'];  
$csrf = $_POST['csrf'];  
$knownGoodToken = $_SESSION['csrf'];  
if($csrf !== $knownGoodToken) {  
  die('Invalid request');  
}  
if($confirm === 'yes') {  
  //goodbye  
} 

请注意，这是个非常简单的示例，你可以加入更多的代码。如果你使用的是像 Symfony 这样的 PHP 框架，那么自带了 CSRF 令牌的功能。

你还可以查看关于 OWASP 更详细的问题和更多防御机制的文章： https://github.com/OWASP/CheatS....

4. LFI

LFI （本地文件包含） 是一个用户未经验证从磁盘读取文件的漏洞。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!