Un codigo sencillo para evitarlo es el siguiente (en toda la web dice lo mismo):
Código:
Lo que no entiendo es lo siguiente, al generar un token, y dejarlo activo en sesion durante X tiempo, Alguien no podria agarrar, y copiar el token que esta en el campo del formulario, armar un propio formulario, e intentar hacer el ataque?<?php $marca = md5(uniqid(rand(), TRUE)); $_SESSION['marca'] = $token; $_SESSION['tiempo_marca'] = time(); ?> <form action="compra.php" method="POST"> <input type="hidden" name="marca" value="<?php echo $marca; ?>" /> Artículo: <input type="text" name="articulo" /> Cantidad: <input type="text" name="Cantidad" /> <input type="submit" value="Comprar" /> </form>
Total el token esta registrado en Session, y todavia no murio.
Nose si me explique, pero tengo esta duda y nose en donde preguntar.
Desde ya, muchas gracias.