PHP के साथ सीएसआरएफ हमलों (क्रॉस-साइट अनुरोध जालसाजी) से कैसे बचें?

सार्वजनिक समारोह get_token_id () {यदि (isset ($ _ सत्र [`टोकन_आईड`])) {$ _SESSION [`टोकन_आईडी`] -} और {$ टोकन_आईडी = $ इस->यादृच्छिक (10) - $ _ सत्र [`token_id`] = $ token_id-return $ token_id-}}

सार्वजनिक समारोह (get_token) {अगर (isset ($ _ सत्र [ `token_value`])) {वापसी $ _SESSION [ `token_value`] - और} {$ टोकन = हैश ( `SHA256`, $ इस->यादृच्छिक (500)) - $ _ सत्र [`token_value`] = $ टोकन-वापसी $ टोकन-}}

सार्वजनिक समारोह check_valid ($ विधि) {अगर ($ विधि == `पोस्ट` || $ विधि == `प्राप्त`) {$ पोस्ट = $ _POST- $ प्राप्त = $ _GET-अगर (isset ($ {$ विधि} [ $ इस->get_token_id ()]) && ($ {$ विधि} [$ this->get_token_id ()] == $ this->get_token ())) {रिटर्न सच-} और {वापसी झूठी-}} और {वापसी- झूठी}}}

सार्वजनिक समारोह form_names ($ नाम, $ पुनर्जन्म) {$ मूल्यों = सरणी () - foreach ($ नामों के रूप में $ एन) {if ($ पुनर्जन्म == सच) {सेट नहीं ($ _ सत्र [$ n]) -} $ एस = जारी ($ _ सत्र [$ n])? $ _SESSION [$ n]: $ this->यादृच्छिक (10) - $ _ सत्र [$ n] = $ s- $ मान [$ n] = $ s-} $ मान लौटें-}

निजी समारोह यादृच्छिक ($ लेन) {अगर (@is_readable ( `/ dev / urandom`)) {$ च = fopen ( "/ dev / urandom `,` आर `) - $ urandom = fread ($ च, $ लेन) -fclose ($ f) -} $ return = `` - के लिए ($ i = 0- $ i<$ लेन - $ i ++) {अगर (isset ($ urandom!)) {अगर ($ मैं% 2 == 0) mt_srand (समय ()% 2147 * 1000000 + (डबल) microtime () * 1000000) - $ रैंड = 48 + mt_rand ()} किसी और $ 64% रैंड = 48 + ord ($ urandom [$ i])% 64-अगर ($ रैंड>57) $ रैंड + = 7-अगर ($ रैंड>90) $ रैंड + = 6-अगर ($ रैंड == 123) $ रैंड = 52-अगर ($ रैंड == 124) $ रैंड = 53- $ रिटर्न। = CHR ($ रैंड) -} वापसी $ वापसी-}

}