nonce4php下載 - nonce4php原始碼下載

nonce4php

其他類別

1.0.0

下載

PHP 的 pedroac/nonce

一個隨機數管理器 PHP 函式庫，可用於防止 CSRF 和重播攻擊。

我們可能會找到幾篇文章和影片來解釋隨機數字試圖防止的漏洞：

YouTube - Jmaxxz - CSRF 解釋
YouTube - 梅塞爾教授 - 跨站請求偽造
YouTube - 梅塞爾教授 - 重播攻擊
YouTube - Hak5 - 如何透過無線電重播攻擊破解無線遙控器
編碼恐怖 - 防止 CSRF 和 XSRF 攻擊
acunetix - CSRF 攻擊、XSRF 或 Sea-Surf
SitePoint - 如何防止網站上的重播攻擊

然而，許多 PHP nonces 庫似乎限制太多，再加上一些框架，難以使用或難以理解它們是如何運作的。

pedroac/nonce試圖解決這些問題。

它允許選擇任何 PSR-16 實作來暫時儲存隨機數、隨機數值產生器、過期間隔，甚至使用DateTime提供者來覆蓋時鐘系統（此功能用於單元測試）。

它還提供幫助程式來管理輸入、產生隨機隨機數字名稱和值、根據隨機數字驗證提交的令牌並產生 HTML 元素。

先決條件

PHP 7.1 或更高版本：http://php.net/downloads.php
作曲家：https://getcomposer.org
至少有一種 PSR-16 實施。範例：
- symfony/緩存
- 馬蒂亞斯莫利/剪貼簿

安裝中

運行命令：

composer require pedroac/nonce

用法

範例

使用 Symfony ArrayCache
CLI測試
使用會話的 HTML 表單
使用自動產生的隨機數字名稱的 HTML 表單
使用助手的 HTML 表單

HTML 表單可以使用 PHP 內建 Web 伺服器進行測試。
從php/examples資料夾執行指令：

php -S localhost:8000

在瀏覽器中使用 URL http://localhost:8000/。

帶有令牌的 HTML 表單

建立一個隨機數字表單助手：

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Form  HtmlNonceField ;
use  pedroac  nonce  Form  NonceForm ;

// this handles automatically the input and nonce management
$ form = new NonceForm (
    ' token ' , // the HTML input name
    new NoncesManager (
      new FilesystemCache // a PsrSimpleCacheCacheInterface implementation
    )
);
// this will be used to generate a HTML input element
$ htmlField = new HtmlNonceField ( $ form );

檢查是否提交了有效的令牌：

 if ( $ form -> isSubmittedValid ()) {
  /**
   * handle the success:
   * - if all form input is valid, show success page;
   * - otherwise, show an error page and the form again;
   */
}

檢查是否提交了無效令牌：

 if ( $ form -> isSubmittedInvalid ()) {
  /**
   * handle failure:
   * - don't show the form again;
   * - show an error message;
   */
}

實作 HTML 表單：

<form method=" POST ">
    <?= $ htmlField ?>
    <!-- more HTML -->
    <input type="submit" name="myform" value="Submit" />
</form>

當使用NonceForm類別驗證令牌時，隨機數會自動過期。

一般用法

實例化一個隨機數字管理器：

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  FilesystemCache ;
use  pedroac  nonce  NoncesManager ;

$ manager = new NoncesManager ( new FilesystemCache );

提交請求時，驗證提交的令牌並刪除隨機數：

 $ isValidToken = false ;
$ isValidForm = false ;
$ wasSubmitted = filter_has_var ( INPUT_POST , ' myform ' );
$ tokenName = filter_input ( INPUT_POST , ' token_name ' );
$ tokenValue = filter_input ( INPUT_POST , ' token_value ' ) ?? '' ;

if ( $ tokenName ) {
    $ isValidToken = $ manager -> verifyAndExpire ( $ tokenName , $ tokenValue );
}
if ( $ wasSubmitted && $ isValidToken ) {
    // validate input
}

在適當的時候產生一個隨機數：

 if (! $ wasSubmitted || (! $ isValidForm && $ isValidToken )) {
  $ nonce = $ manager -> create ();
}

例如，使用隨機數字名稱和值建立 HTML 表單：

 <?php if ( $ nonce ) : ?>
  <input type="hidden"
        name="token_name"
        value=" <?= htmlspecialchars ( $ nonce -> getName ()) ?> " />
  <input type="hidden"
        name="token_value"
        value=" <?= htmlspecialchars ( $ nonce -> getValue ()) ?> " />
  <input type="submit" name="myform" value="Submit" />
<?php endif ; >

選項

除了隨機數快取儲存之外，還可以選擇隨機隨機數值產生器和過期間隔：

 <?php
require __DIR__ . ' /../vendor/autoload.php ' ;

use Symfony  Component  Cache  Simple  ArrayCache ;
use  pedroac  nonce  NoncesManager ;
use  pedroac  nonce  Random  HexRandomizer ;

$ manager = new NoncesManager (
    new ArrayCache ( 60 ),
    new HexRandomizer ( 32 ), // a pedroacnonceRandom implementation
    new  DateInterval ( ' PT3H ' )
);

也可以建立具有指定名稱的隨機數：

 $ user_id = $ _SESSION [ ' user_id ' ];
$ tokenName = "{ $ user_id } _form " ;
$ nonce = $ manager -> create ( $ tokenName );

NonceForm預設輸入來源是$_POST，但它接受任何陣列輸入：

 $ form = new NonceForm (
    ' token ' ,
    new NoncesManager (
      new FilesystemCache
    ),
    filter_input_array ( INPUT_GET ) // use $_GET
);