PHP8.4防CSRF攻击技巧分享

大家好，我们又见面了啊~本文《PHP8.4防止CSRF攻击技巧汇总》的内容中将会涉及到等等。如果你正在学习文章相关知识，欢迎关注我，以后会给大家带来更多文章相关文章，希望我们能一起进步！下面就开始本文的正式内容~

PHP 8.4 不内置 CSRF 防护，但通过 random_bytes() 生成 ≥32 字节令牌、hash_equals() 安全比对、绑定 Session 并单次有效，可构建健壮防护；须避免 GET 传参、未校验请求方法及 AJAX 漏检。

PHP 8.4 本身不内置 CSRF 令牌生成与验证机制，但利用其新增的 random_bytes() 强随机性、hash_equals() 安全比较，以及 Session 增强支持，可以构建比 PHP 7.x 更健壮的 CSRF 防护。关键不在版本新旧，而在是否正确使用底层安全原语。

如何生成防篡改的 CSRF 令牌（PHP 8.4 推荐方式）

PHP 8.4 的 random_bytes() 默认使用更严格的 CSPRNG（如 Linux 的 /dev/urandom 或 Windows 的 BCryptGenRandom），不再依赖已废弃的 mcrypt 或弱熵源。必须避免用 rand()、mt_rand() 或时间戳拼接生成令牌。

• 令牌应绑定当前用户 Session（$_SESSION['user_id'] 或 session_id()），不能全局复用
• 建议长度 ≥ 32 字节：用 bin2hex(random_bytes(32)) 生成 URL 安全字符串
• 可选加盐签名增强防重放：对 session_id() . time() 用 hash_hmac('sha256', $data, $_SESSION['csrf_key'] ??= bin2hex(random_bytes(16)))
• 令牌需单次有效（提交后立即失效）或带短时效（如 30 分钟），存于 $_SESSION['csrf_token'] 即可，无需数据库

如何安全验证表单提交中的 CSRF 令牌

验证阶段最容易出错的是“松散比较”和“未清除已用令牌”。PHP 8.4 的 hash_equals() 是唯一推荐的字符串比较函数，它能防御时序攻击；任何用 == 或 === 比较令牌都会导致绕过风险。

• 从表单取值必须用 $_POST['csrf_token'] ?? ''，禁止直接 $_REQUEST（可能被 GET 注入）
• 验证前先检查 Session 是否已启动且未过期：if (session_status() !== PHP_SESSION_ACTIVE) { die('CSRF check failed'); }
• 必须用 hash_equals($_SESSION['csrf_token'] ?? '', $_POST['csrf_token'] ?? '')，返回 true 才继续处理
• 验证成功后，立刻调用 unset($_SESSION['csrf_token']) 或生成新令牌（防止重复提交）

常见绕过场景与 PHP 8.4 下的修复要点

很多“看似防住了”的 CSRF 实现，在 PHP 8.4 下仍可能被绕过，根源常在于逻辑漏洞而非函数过时。

• GET 请求携带令牌：如 —— 会被浏览器预加载、Referer 泄露、代理缓存，PHP 8.4 无法挽救这种设计错误；必须只在 POST/PUT/DELETE 表单中用 <input type="hidden" name="csrf_token" value="...">
• 令牌未绑定 Session：若所有用户共用一个 $_SESSION['csrf_token']，攻击者可先登录自己账号获取令牌，再诱导目标用户提交；必须每个 Session 独立生成
• 忽略 HTTP 方法校验：仅验证令牌，却不检查 $_SERVER['REQUEST_METHOD'] === 'POST'，可能导致 GET 接口被伪造调用
• AJAX 请求漏防护：前端 JS 提交时需在请求头带 X-CSRF-Token: xxx，后端用 $_SERVER['HTTP_X_CSRF_TOKEN'] ?? '' 获取并验证，不能只依赖 Cookie

function generate_csrf_token(): string
{
    $token = bin2hex(random_bytes(32));
    $_SESSION['csrf_token'] = $token;
    $_SESSION['csrf_expires'] = time() + 1800; // 30 minutes
    return $token;
}

function verify_csrf_token(string $submitted_token): bool
{
    if (!isset($_SESSION['csrf_token'], $_SESSION['csrf_expires']) || time() > $_SESSION['csrf_expires']) {
        unset($_SESSION['csrf_token'], $_SESSION['csrf_expires']);
        return false;
    }

    $valid = hash_equals($_SESSION['csrf_token'], $submitted_token);
    if ($valid) {
        unset($_SESSION['csrf_token'], $_SESSION['csrf_expires']);
    }
    return $valid;
}