ウェブアプリへのログイン機能など、外部からのアクセスを防ぎたいことが多くあります。
この際に有効なのがトークンを発行してアクセス元を確認。
フォームに下記スクリプトを実装。
<?php
function random($length = 32){
return substr(bin2hex(random_bytes($length)), 0, $length);
}
$_SESSION["token"] = random();
?>
<INPUT type="hidden" name="token" value="<?php echo $_SESSION["token"]; ?>">
下記の様に受け取った際、セッションと値が合致していたら、OK
簡単ですね!
if(isset($_SESSION["token") AND $_SESSION["token"] == $_POST["token"]){
//実行スクリプト
}
else{
//不審なアクセス
}
コメント