a
This commit is contained in:
parent
8949fbf40f
commit
dfce322094
|
|
@ -1,57 +1,43 @@
|
|||
<?php
|
||||
class Csrf
|
||||
{
|
||||
|
||||
/**
|
||||
* Génère et stocke un token CSRF en session
|
||||
* Génère UN seul token pour toute la session
|
||||
*/
|
||||
public static function generateToken(string $formName = 'default'): string {
|
||||
if (empty($_SESSION['csrf_tokens'][$formName])) {
|
||||
$_SESSION['csrf_tokens'][$formName] = [
|
||||
'token' => bin2hex(random_bytes(32)),
|
||||
'created_at' => time(),
|
||||
];
|
||||
public static function generateToken(): string {
|
||||
if (empty($_SESSION['csrf_token'])) {
|
||||
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
|
||||
}
|
||||
return $_SESSION['csrf_tokens'][$formName]['token'];
|
||||
return $_SESSION['csrf_token'];
|
||||
}
|
||||
|
||||
/**
|
||||
* Valide le token soumis
|
||||
*/
|
||||
public static function validateToken(string $submittedToken, string $formName = 'default'): bool {
|
||||
$session = $_SESSION['csrf_tokens'][$formName] ?? null;
|
||||
public static function validateToken(string $submittedToken): bool {
|
||||
$sessionToken = $_SESSION['csrf_token'] ?? '';
|
||||
|
||||
if (!$session) return false;
|
||||
if (empty($sessionToken)) return false;
|
||||
|
||||
// Expiration après 1 heure
|
||||
if (time() - $session['created_at'] > 3600) {
|
||||
self::destroyToken($formName);
|
||||
return false;
|
||||
}
|
||||
// ✅ hash_equals évite les attaques par timing
|
||||
return hash_equals($sessionToken, $submittedToken);
|
||||
|
||||
$valid = hash_equals($session['token'], $submittedToken);
|
||||
|
||||
// Token à usage unique : on le supprime après validation
|
||||
if ($valid) {
|
||||
self::destroyToken($formName);
|
||||
}
|
||||
|
||||
return $valid;
|
||||
// ⚠️ On NE supprime PAS le token ici (réutilisable)
|
||||
}
|
||||
|
||||
/**
|
||||
* Supprime un token
|
||||
* Champ HTML à insérer dans les formulaires
|
||||
*/
|
||||
public static function destroyToken(string $formName = 'default'): void {
|
||||
unset($_SESSION['csrf_tokens'][$formName]);
|
||||
public static function field(): string {
|
||||
$token = self::generateToken();
|
||||
return '<input type="hidden" name="csrf_token" value="' . htmlspecialchars($token) . '">';
|
||||
}
|
||||
|
||||
/**
|
||||
* Retourne le champ HTML caché à insérer dans les formulaires
|
||||
* Régénère le token (à appeler à la déconnexion)
|
||||
*/
|
||||
public static function field(string $formName = 'default'): string {
|
||||
$token = self::generateToken($formName);
|
||||
return '<input type="hidden" name="csrf_token" value="' . htmlspecialchars($token) . '">'
|
||||
. '<input type="hidden" name="csrf_form" value="' . htmlspecialchars($formName) . '">';
|
||||
public static function regenerate(): void {
|
||||
$_SESSION['csrf_token'] = bin2hex(random_bytes(32));
|
||||
}
|
||||
|
||||
}
|
||||
|
|
@ -94,7 +94,7 @@ class Vue
|
|||
ob_start();
|
||||
require $fichier;
|
||||
// 18/04/2026 => genérer
|
||||
Csrf::field($fichier);
|
||||
Csrf::field();
|
||||
return ob_get_clean();
|
||||
}
|
||||
else {
|
||||
|
|
|
|||
Loading…
Reference in New Issue
Block a user