Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
 Reply to this topicStart new topic
> [PHP]problem z csrf
viamarimar
post
Post #1





Grupa: Zarejestrowani
Postów: 303
Pomógł: 1
Dołączył: 24.09.2011

Ostrzeżenie: (10%)
X----

Mam problem przy generowaniu kodow csrf dla formularza. Kod generowany w sesji nie zgadza sie z przesylanym w post, chodz jest to teoretycznie ten sam token.

1. Dodałem przy zalogowaniu pierwszy token 
[PHP] pobierz, plaintext 
  1. $_SESSION['token'] = randTokenCSRF();
  2. $_SESSION['time'] =  $_SERVER["REQUEST_TIME"];
[PHP] pobierz, plaintext

2. W pliku index ktory jakby spaja wszystkie pliki gdyz struktura jest
index.php?a=cos&b=cos&c=cos
dodalem:
[PHP] pobierz, plaintext 
  1. @$token = $_SESSION['token'];
  2. var_dump($_SESSION['token']);
  3. var_dump($token);
  4. $delta = 86400;
  5. $tstamp = $_SESSION['time'];
  6.  
  7. if(isset($token) && isset($tstamp) ){
  8. if($_SERVER["REQUEST_TIME"] - $_SESSION['time'] > $delta){
  9.     header("location: index.php?k=csrf");
  10. 	echo '1';
  11. 	}
  12. else{
  13. 	$_SESSION['token'] = randTokenCSRF();
  14. 	$_SESSION['time'] =  $_SERVER["REQUEST_TIME"]; 
  15. 	$token = $_SESSION['token'];
  16. 	$token = $_SESSION['token'];
  17. 	echo '2';
  18. } 
[PHP] pobierz, plaintext


3. W formularzu:
[PHP] pobierz, plaintext 
  1. <input type="hidden" name="token" value="<?php echo $token; ?>">
[PHP] pobierz, plaintext


4. Po wyslaniu sprawdzam dumpem czy sie zgadza:
[PHP] pobierz, plaintext 
  1. var_dump($_POST['token']);
  2. niestety tokeny sa inne
  3. var_dump($_SESSION['token']);
[PHP] pobierz, plaintext



-Wydaje mi sie ze problem jest gdzies w plikach index, lecz nie jestem swiadom gdzie konkretnie.

Prosze o uświadomienie.

Ten post edytował viamarimar 9.12.2016, 00:18:50
Go to the top of the page
+Quote Post
com
post
Post #2





Grupa: Zarejestrowani
Postów: 3 034
Pomógł: 366
Dołączył: 24.05.2012

Ostrzeżenie: (0%)
-----

problem to jest ta sesja bo w miedzy czasie zmienia Ci się tam stan, o czym php wie w następnym requescie, a tam zmieniasz go znów wink.gif
Go to the top of the page
+Quote Post
viamarimar
post
Post #3





Grupa: Zarejestrowani
Postów: 303
Pomógł: 1
Dołączył: 24.09.2011

Ostrzeżenie: (10%)
X----

domyślam, się że problem jest z sesją, a jakiś pomysł na rozwiązanie?
Go to the top of the page
+Quote Post
com
post
Post #4





Grupa: Zarejestrowani
Postów: 3 034
Pomógł: 366
Dołączył: 24.05.2012

Ostrzeżenie: (0%)
-----

Zerknij tutaj:
http://stackoverflow.com/a/31683058

Ten post edytował com 9.12.2016, 14:59:13
Go to the top of the page
+Quote Post
viamarimar
post
Post #5





Grupa: Zarejestrowani
Postów: 303
Pomógł: 1
Dołączył: 24.09.2011

Ostrzeżenie: (10%)
X----

przedstawione tam rozwiazanie raczej utrudnia problem niz pomaga go rozwiazac ;/

[PHP] pobierz, plaintext 
  1. if(empty($_SESSION['token'])) {
  2. 		if (function_exists('mcrypt_create_iv')) {
  3. 			$_SESSION['token'] = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
  4. 		} else {
  5. 			$_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(32));
  6. 	}
  7. }
  8. $token = $_SESSION['token'];
[PHP] pobierz, plaintext


coś takiego by niby bylo lepsze? a co z unikalnoscia tego tokena?

czy token csrf powinien byc generowany raz czy wielokrotnie? bo słyszałem już różne opinie?

Ten post edytował viamarimar 10.12.2016, 01:58:53
Go to the top of the page
+Quote Post
« Następny starszy · Przedszkole · Następny nowszy »
 

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 19.08.2025 - 06:55
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn