技術資料

PHPによるCSRF対策入門:トークン生成から認証までの流れを解説

2024.11.19

PHP

CSRF対策として、トークンを生成してフォームに埋め込む手順のメモ。

送信フォーム側のスクリプト

以下のような感じで、ランダムなトークンを生成し、セッションとしてユーザーのブラウザに保存すると共に、フォームに hidden で埋め込みます。

<?php
// トークン生成関数
function generateCsrfToken(){
    return bin2hex(random_bytes(32));
}
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
?>

<!-- フォームの出力 -->
<form method="POST" action="form.php">
    <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrfToken); ?>">
    <!-- 以下略 -->
</form>

受信側のスクリプト

受信側では、フォームから送られたトークンと、セッションに保存されたトークンが一致するかをチェック。

// トークン認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
    // エラー処理
    die('CSRFトークン認証エラー');
}
// 認証後、新たなトークンを生成
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;

上記の例のように、リクエストごとにトークンを再生成した方がセキュリティは向上します。

が、複数タブで操作されることが多いWebアプリケーションや、Ajax的なデータのやり取りの多いWebアプリケーションだと、リクエストごとに再生成すると頻繁にトークンの認証に失敗してしまうことになりがちです。

折衷案として、トークンに有効期限を設定して管理する、という方法もありますね。

// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
$_SESSION['csrf_token_expire'] = time() + 60 * 60; // 60分有効

// トークンの認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
    // エラー処理
    die('CSRFトークン認証エラー');
}
// 有効期限のチェック
if(!isset($_SESSION['csrf_token_expire']) || time() > $_SESSION['csrf_token_expire']){
    // エラー処理
    die('CSRFトークン有効期限切れ');
}

OGP画像作成を効率化:PHPを使った自動生成方法を解説

2024.11.21

SNSシェアに欠かせないOGP画像、毎回手作業で作成するのは手間がかかりますよね。本記事では、PHPを使って記事タイトルを含むOGP画像を自動生成する方法を解説します。テンプレート画像を活用した簡単な手順をぜひお試しください。

PHP

PHPとPerlでファイルパーミッションを変更する方法(chmod関数)

2024.11.16

PHPとPerlには、ファイルのパーミッションを変更するためのchmod関数が標準で用意されています。この記事では、PHPとPerlそれぞれのchmod関数を使ったファイルパーミッション変更の基本的な使い方を紹介します。

Perl PHP

PHPでNotionのページを更新する方法

2023.11.24

NotionのページをPHPから直接更新できる方法をご紹介します。本記事では、Notion APIを使用して、タスクの名前やカテゴリ、ステータスなどのプロパティを簡単に更新する方法を解説します。

Notion API PHP

Notion APIでPHPからデータベース検索を実行する方法

2023.11.24

Notion APIを使って、PHPでNotionデータベースから特定の条件に一致するデータを検索する方法をご紹介します。記事では、フィルター条件をJSON形式で指定して、タスクのステータスなどに基づいてデータを絞り込む方法を解説しています。

Notion API PHP

阿部辰也へのお仕事の依頼・お問い合わせ

お名前 *必須
会社名
メールアドレス *必須
電話番号
URL
お問い合わせのきっかけ
お問い合わせの内容 *必須
個人情報の取り扱いについて *必須 プライバシーポリシーをご確認いただき、同意いただける場合は「同意する」にチェックをしてください。

keyboard_double_arrow_up
TOP