A webhelyek közötti kéréshamisítás angolul, Cross-Site Request Forgery, röviden CSRF.
Szeretnénk megnehezíteni az ilyen támadások megvalósítását.
session_start(); $_SESSION['token'] = bin2hex(random_bytes(32));
A CSRF tokent beépítjük a HTML űrlapunkba:
<input type="hidden" name="token" value="<?php echo $_SESSION['token'] ?>"/>
Az űrlap küldésekor ellenőrizzük a tokent:
if (hash_equals($_POST['token'], $_SESSION['token'])) { }