PHPによるCSRF対策入門:トークン生成から認証までの流れを解説
作成日:2024.11.19
フォーム送信時のセキュリティを高めるためには、CSRF対策が欠かせません。本記事では、PHPでのトークン生成から認証チェックまで、実装手順を具体的に解説します。
CSRF対策として、トークンを生成してフォームに埋め込む手順のメモ。
送信フォーム側のスクリプト
以下のような感じで、ランダムなトークンを生成し、セッションとしてユーザーのブラウザに保存すると共に、フォームに hidden で埋め込みます。
<?php
// トークン生成関数
function generateCsrfToken(){
return bin2hex(random_bytes(32));
}
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
?>
<!-- フォームの出力 -->
<form method="POST" action="form.php">
<input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($csrfToken); ?>">
<!-- 以下略 -->
</form>受信側のスクリプト
受信側では、フォームから送られたトークンと、セッションに保存されたトークンが一致するかをチェック。
// トークン認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
// エラー処理
die('CSRFトークン認証エラー');
}
// 認証後、新たなトークンを生成
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;上記の例のように、リクエストごとにトークンを再生成した方がセキュリティは向上します。
が、複数タブで操作されることが多いWebアプリケーションや、Ajax的なデータのやり取りの多いWebアプリケーションだと、リクエストごとに再生成すると頻繁にトークンの認証に失敗してしまうことになりがちです。
折衷案として、トークンに有効期限を設定して管理する、という方法もありますね。
// トークンをセッションに保存
session_start();
$csrfToken = generateCsrfToken();
$_SESSION['csrf_token'] = $csrfToken;
$_SESSION['csrf_token_expire'] = time() + 60 * 60; // 60分有効
// トークンの認証チェック
session_start();
if(!isset($_POST['csrf_token']) || !isset($_SESSION['csrf_token']) || !hash_equals($_POST['csrf_token'], $_SESSION['csrf_token'])){
// エラー処理
die('CSRFトークン認証エラー');
}
// 有効期限のチェック
if(!isset($_SESSION['csrf_token_expire']) || time() > $_SESSION['csrf_token_expire']){
// エラー処理
die('CSRFトークン有効期限切れ');
}CSRF対策の実装・運用でお困りですか?
セキュリティ要件に合わせたトークン生成、Ajax対応、トークン有効期限の管理など、現場に合った柔軟なCSRF対策の実装をお手伝いしています。
PHPアプリケーションのセキュリティ強化や、運用面での工夫についてもご相談可能です。お気軽にお問い合わせください。
奈良市を拠点に、26年以上の経験を持つフリーランスWebエンジニア、阿部辰也です。
これまで、ECサイトのバックエンド開発や業務効率化システム、公共施設の予約システムなど、多彩なプロジェクトを手がけ、企業様や制作会社様のパートナーとして信頼を築いてまいりました。
【制作会社・企業様向けサポート】
Webシステムの開発やサイト改善でお困りの際は、どうぞお気軽にご相談ください。小さな疑問から大規模プロジェクトまで、最適なご提案を心を込めてさせていただきます。
ぜひ、プロフィールやWeb制作会社様向け業務案内、一般企業様向け業務案内もご覧くださいね。
PHPで実現するCloud Vision API OCR入門:画像からテキスト抽出の基本
2025.09.30
Google Cloud Vision API を利用して、PHP で画像からテキストを抽出する OCR 処理の基本的な実装方法を解説します。API の有効化や認証情報の取得、PHP クライアントライブラリのインストール手順から、実際のコード例に基づいた OCR 処理の流れを紹介。
onelogin/php-samlで実現するPHP SAML認証:基本設定から動作確認まで
2025.09.25
軽量ライブラリである onelogin/php-saml を利用して、PHPでSAML認証を実装する方法を詳しく解説します。Composerによるインストールから、証明書・秘密鍵の準備、設定ファイルの作成、そしてSPのメタデータ生成やSSO・ACSの各スクリプトまで、SAML認証の基本設定と動作確認の一連の流れをサンプルコードを交えて紹介。
PHPで実現するHTML目次自動生成:見出しタグ抽出と目次リンクの出力
2025.07.31
PHPを活用して、HTML文書から見出しタグを抽出し、目次リンクを自動生成する方法を解説します。見出しに自動でIDを付与する仕組みや、抽出した情報をリスト形式で出力するサンプルコードを紹介。効率的なドキュメント構造の整備とSEO対策に繋がる実践的な手法を、わかりやすくまとめています。
OpenAI API 実践例:Chat Completions API で JSON形式レスポンスを取得する方法
2025.06.04
OpenAI API の Chat Completions API を用いて、レスポンス形式を JSON に固定する実装手法を紹介します。PHP を使った具体的なコード例を通じ、response_format パラメータの設定方法や利用シーン、最新モデルでのオプション利用まで解説しています。