PHP CSRF 表单防护实战:令牌生成、提交校验和过期处理
很多后台系统都有修改资料、删除记录、提交订单这类表单。如果用户已经登录,攻击页面诱导浏览器发起一次跨站提交,服务端又只看 Cookie 登录态,就可能误把这次请求当成用户本人操作。
CSRF 防护的核心思路很直接:服务端为表单生成一个随机令牌,保存到 session,页面提交时把令牌一起带回来。服务端只有在令牌匹配、未过期、来源合理时才处理业务。
适合人群
适合正在写 PHP 后台表单、管理系统、个人中心、订单确认页的开发者。你需要了解基础表单提交、Cookie、session 和 PHP 数组。
目录
- 为什么只靠登录态不够
- 生成令牌并写入 session
- 表单提交时如何校验
- 失败原因和用户提示怎么设计
- 常见坑位和上线建议
为什么只靠登录态不够
浏览器会自动携带同站 Cookie。如果攻击页面构造了一个提交到你站点的表单,用户又正好登录着,服务端可能会收到一条带 Cookie 的请求。
因此,服务端不能只判断“有没有登录”。它还要判断这个提交是不是从你自己的页面发起。CSRF 令牌就是为了解决这个问题:攻击页面不知道服务端临时生成的令牌,也无法提交正确值。
下面这张图展示推荐链路:打开表单时生成令牌,写入 session 和隐藏字段,提交时服务端取回令牌并校验,通过后才进入业务处理。

生成令牌并写入 session
生成令牌时要使用足够随机的值,并且保存生成时间。下面是一个简化函数:
表单页面把令牌写入隐藏字段:
这里使用 htmlspecialchars 是为了避免令牌输出到 HTML 时引起额外问题。
表单提交时如何校验
提交处理页要先校验令牌,再处理业务。不要先写数据库再补校验。
1800) {
return false;
}
return hash_equals($saved, $token);
}
$token = $_POST['csrf_token'] ?? '';
if (!csrf_check($token)) {
http_response_code(419);
echo '表单已失效,请刷新后重试';
return;
}
// 通过校验后再处理资料保存
echo '保存成功';
?>
hash_equals 用于安全比较字符串,避免普通比较在极端情况下暴露时间差异。令牌过期时间可以根据业务调整,例如 30 分钟或 2 小时。
失败原因和用户提示怎么设计
CSRF 校验失败时,不建议直接显示“攻击请求”。用户更常见的感知是页面停留太久、开了多个标签页、登录态变化、浏览器回退后提交。
下面这张图列出常见失败原因:令牌缺失、令牌不匹配、令牌过期、session 丢失,最终统一拒绝并提示刷新页面。

常见坑位和上线建议
第一,所有写操作都要校验。 修改资料、删除记录、创建订单、绑定账号这类请求都应该检查令牌。
第二,不要把令牌写死在配置里。 令牌应该按会话生成,必要时按表单刷新。
第三,配合 SameSite Cookie。 令牌是主防线,Cookie 的 SameSite=Lax 或 Strict 可以进一步降低跨站提交风险。
第四,失败日志要能定位。 记录用户 ID、接口路径、失败原因和时间,不要记录完整 Cookie 或敏感字段。
第五,接口和页面策略分开。 传统表单适合 CSRF 令牌;纯 API 通常还要配合请求头、来源校验和登录态策略。
总结
PHP 表单的 CSRF 防护可以从三步落地:打开页面时生成随机令牌并保存到 session,表单提交时带回令牌,服务端先校验令牌和有效期,再处理业务。
这套机制不复杂,但非常关键。只要把写操作统一接入校验,再配合合理的失败提示和日志,后台表单的误提交风险会明显降低。
Redis Lua 扣库存实战:原子校验库存和订单幂等,避免超卖
- 上一篇
- Redis Lua 扣库存实战:原子校验库存和订单幂等,避免超卖
- 下一篇
- Redis GEO 附近门店查询实战:坐标写入、半径检索和距离排序
-
- 文章 · php教程 | 1星期前 | 面向对象 · PHP · PHP8.4 · Property Hooks · 代码重构 · PHP教程 Getter PHP 8.4 Property Hooks setter
- PHP 8.4 Property Hooks 实战:把 getter/setter 收回到属性声明里
- 464浏览 收藏
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
-
- ljg-skills
- ljg-skills 是李继刚开源的 AI 技能与提示词集合,面向大模型使用者整理了一批可复用的 prompt、角色设定和任务技能模板,适合用于学习提示词设计、搭建个人 AI 工作流和沉淀团队常用智能体能力。
- 3851次使用
-
- MELO音乐
- MELO音乐是一站式AI视频与音乐制作助手,对标suno, udio的高品质体验。提供伴奏生成、原创写词、无损导出、哼唱识曲、混音变声等全套音频与短视频编辑工具。无论是流行Kpop、电音说唱、民谣古风、摇滚儿歌还是商用轻音乐,MELO为你免费谱曲,轻松做同款!
- 3557次使用
-
- UniScribe
- UniScribe 是一款 AI 音视频转文字与内容整理工具,支持上传音频、视频文件或粘贴 YouTube 链接,自动生成转写文本、摘要、思维导图和关键问题,并支持多格式导出,适合会议记录、课程学习、访谈整理和内容创作复盘。
- 3543次使用
-
- 剧云
- 剧云是专业中文剧本创作平台,安全稳定运行十余年,集成AI编剧、剧本医生审核、人物小传、剧情关系图、大纲编写、多人协作、Word导入导出、版权管控功能,数据安全防护,轻松高效创作剧本。
- 3724次使用
-
- 万象有声
- 万象有声,一个专为有声创作者打造的新一代智能有声内容创作平台。平台提供专业的智能拆章、智能画本编辑、AI配音、AI生成音效、后期制作、智能对轨、智能审听等有声创作全流程工具,可以帮助创作者高效、低成本创作出引人入胜的有声作品。立即体验,让有声书制作更简单!
- 3691次使用
-
- golang实现PHP数组特性的方法
- 2023-02-16 371浏览
-
- PHP与Go语言之间的通信详解
- 2023-01-07 347浏览
-
- php和go语言的区别有哪些
- 2023-03-04 112浏览
-
- Go CrossOriginProtection 实战:别把 CSRF 防护只当成中间件
- 2026-06-03 183浏览
-
- HTTP 的 response 中的响应体和头部是分开发送的吗?
- 2023-01-28 387浏览

