在代码中,我看到了为登录页面创建令牌:
$token = $_SESSION['token'] = md5(uniqid(mt_rand(),true));
然后这个令牌在登录表单中作为隐藏输入回显,并且在提交的PHP代码上验证登录也会检查此令牌,如:
public function isTokenValid()
{
return (!isset($_SESSION['token']) || $this->_token != $_SESSION['token'])? 0 : 1;
}
这个令牌有什么用?
编辑:此页面描述了它的使用:https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_prevention_Cheat_Sheet
像这样的方法通常用于防止CSRF漏洞
京公网安备 11010802040832号 | 京ICP备19059560号-6 