Webセキュリティの小部屋

ホーム > Webアプリケーションセキュリティ > CSRF の安全なトークンの作成方法(PHP編)

公開日：2013年3月5日
最終更新日：2013年12月26日

CSRF の安全なトークンの作成方法(PHP編)

以下の記事の内容に従って、PHP で CSRF の安全なトークンを作成する方法をご紹介します。

CSRF の安全なトークンの作成方法

PHP の暗号論的擬似乱数生成器で乱数を作成できる関数は、openssl_random_pseudo_bytes 関数(>=PHP5.3.0)になります。

また、安全なトークンの桁数は32桁になります。

//32バイトのCSRFトークンを作成
function get_csrf_token() {
  $TOKEN_LENGTH = 16;//16*2=32バイト
  $bytes = openssl_random_pseudo_bytes($TOKEN_LENGTH);
  return bin2hex($bytes);
}

1

2

3

4

5

6

//32バイトのCSRFトークンを作成

function get_csrf_token() {

$TOKEN_LENGTH = 16;//16*2=32バイト

$bytes = openssl_random_pseudo_bytes($TOKEN_LENGTH);

return bin2hex($bytes);

}

この関数によって生成されたトークンは以下のようになります。

3f7d22402f6ac375bf1168c3ef5d8f08

1	3f7d22402f6ac375bf1168c3ef5d8f08

スポンサーリンク

« CSRF の安全なトークンの作成方法(Java編)

CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編) »

カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

コメントを残すコメントをキャンセル

プロフィール

名前：fnya
SE としての経験は１５年以上。業務システムの経験が多いですが、セキュリティにも携わっていました。現在は、趣味でセキュリティを追っかけています。情報セキュリティスペシャリスト。

現在、Enty で支援を受け付けています。もしよければご支援ください。

Follow @fnya

最近の記事

ラックが無償で提供するPCのセキュリティ状況を診断する「自診くん」を試してみた

[ランサムウェア対策]ネットワークドライブは net use コマンドで使用時のみ接続しよう

SiteGuard Lite(WAF)のレポートを見るとびっくりするほど攻撃を受けている件

SiteGuard Lite で「java.io.IOException: Stream closed」エラーでレポートが出力されなくなった場合の解消方法

Content Security Policy(CSP)をサイトに適用しました(Analytics,Adsenseも動くよ）

カテゴリ

おすすめ書籍

体系的に学ぶ安全なWebアプリケーションの作り方
言わずと知れたWebアプリケーションセキュリティの定番教科書。「徳丸本」として親しまれています。

徳丸浩のWebセキュリティ教室
「徳丸本」の後に出版され、「徳丸本」がカバーしていない内容を扱っています。最新動向も押さえられています。
レビュー記事

基本がわかる安全設計のWebシステム
コードの記載なしでWebアプリケーションセキュリティの基本を、正しく解説している良書です。PM、SE、初心者に向いています。
レビュー記事