Cześć, mam do was pytanie. Otóż realizuje aktualnie projekt, i staram się podejść do niego skrupulatnie. Nie siedziałem w życiu dużo nad różnego rodzaju zabezpieczeniami przed atakami hakerskimi, i chciałbym się was zapytać czy dobrze pojąłem idee tokenu CSRF. Pisane jest to w czystym php
1. Na początku w formularzu z logowaniem włączam sesje
2. Generuje randomowy token przy użyciu jakiejś funkcji do tego przeznaczonej np: md5(uniqid(rand(), true))
3. Token umieszczam w formularzu jako niewidoczny, i zapisuje do sesji
4. W pliku w którym odbierany jest token odczytuje sesje, i jeżeli różni się on od tego który został w formularzu wyświetlam błąd.
Dobrze to zrozumiałem? Dzięki z góry