Здравейте, опитвам се да направя логин формата да има token.
Ето какво правя.
В някакъв клас имам две функции.
След това в контролера викам setToken() и слагам резултата в hidden поле.
После взимам записа от базата и сравнявам с това от полето.
При всеки рефреш кода се сменя.
Въпроса ми е изобщо правилно ли правя нещата или всъщност нищо не правя ? Това ще ме предпази ли от csrf? Също така как мога да тествам?
Ето какво правя.
В някакъв клас имам две функции.
Код:
public function setToken()
{
$this->_token = bin2hex(openssl_random_pseudo_bytes(6));
//Записвам в базата данни при сесийното ид.
return $this->_token;
}
public function getToken()
{
//Взимам от базата данни
return $value;
}
След това в контролера викам setToken() и слагам резултата в hidden поле.
После взимам записа от базата и сравнявам с това от полето.
При всеки рефреш кода се сменя.
Въпроса ми е изобщо правилно ли правя нещата или всъщност нищо не правя ? Това ще ме предпази ли от csrf? Също така как мога да тествам?