mer
14
juil '10
Contrer les CSRF avec Zend_Form
À 06:00 dans la rubrique PHP / PEAR
←
/ #1076
/ rss
/ →
Je n'avais pas repéré cet élément qui me semble bien pratique. l'élément hash Il permet de contrer les CSRF.
class Mon_Form_que_je_protege extends Zend_Form {
public function init() {
$this->setMethod('post');
$this->addElement( 'submit'
, 'submit'
, array( 'ignore' => true
, 'label' => 'Submit'
,)
);
$form->addElement( 'hash'
, 'evite_csrf_foo'
, array( 'salt' => 'unique')
);
}
On demande à Zend_Form de créer une clé unique à la publication du formulaire et d'ensuite s'assurer que la clé à bien été fournie dans la soumission.
Je pourrais en raconter plus... sauf que quelqu'un l'a déjà fait
à lire aussi : doc API
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire