PDA

View Full Version : راه حل نهایی پچ کردن باگ crsf



A.ardalan far
سه شنبه 26 شهریور 1392, 16:18 عصر
با سلام.
دوستان در مورد جلسه ها و اعتبارسنجی ان ها میخاستم ببینم بهترین راه برای جلوگیری از csrf چیه؟

مثلا sid تو db ذخیره کنیم؟
یا session_regenerate_id()؟
و...
کلا میخاستم بدونم منطقی ترین روش کدوم هست؟

ali2k5
سه شنبه 26 شهریور 1392, 22:54 عصر
به اینجا یه نگاه بندازید
http://en.wikipedia.org/wiki/Cross-site_request_forgery#Example_and_characteristics

rezaonline.net
چهارشنبه 27 شهریور 1392, 00:24 صبح
باید خودت یک رشته درهم بسازی .
میتونی از ترکیب یوزرایجنت و آی پی کاربر هم استفاده کنی + یک سالت و همه رو با هم هش کنی.
بعد توی فرم ها بذارش از اینور هم بعد از سابمیت چک کن .
همین تا حد قابل قبولی کارآمد هست .