Hola chicos, necesito impletementar seguridad para prevenir Evitar Cross-Site Request Forgeries en formularios.
Un codigo sencillo para evitarlo es el siguiente (en toda la web dice lo mismo):
Código:
<?php
$marca = md5(uniqid(rand(), TRUE));
$_SESSION['marca'] = $token;
$_SESSION['tiempo_marca'] = time();
?>
<form action="compra.php" method="POST">
<input type="hidden" name="marca" value="<?php echo $marca; ?>" />
Artículo: <input type="text" name="articulo" />
Cantidad: <input type="text" name="Cantidad" />
<input type="submit" value="Comprar" />
</form>
Lo que no entiendo es lo siguiente, al generar un token, y dejarlo activo en sesion durante X tiempo, Alguien no podria agarrar, y copiar el token que esta en el campo del formulario, armar un propio formulario, e intentar hacer el ataque?
Total el token esta registrado en Session, y todavia no murio.
Nose si me explique, pero tengo esta duda y nose en donde preguntar.
Desde ya, muchas gracias.