Buenas,
Para prevenir los ataques csrf en los formularios inserto token con un tiempo de tres minutos. Queria insertar el token en el nuevo sistema de comentario que programe, pero, después me puse a pensar que si pasan los tres minutos tendrán que refrescar la web y esto puede volverse un poco pesado. Alguien sabe otra forma que pueda hacerlo.
Codigo token:
Código PHP:
Ver originalsession_start();
$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;
$_SESSION['token_time'] = time();
esto va en el formulario
<input type="hidden" name="token" value="<?php echo $token; ?>" />
//pagina que valida
if (isset($_SESSION['token']) &&
$_POST['token'] == $_SESSION['token'])
{
//token es valido
}
un saludo