g将在脚本中工作，即使您有正确的会话id。在进入表单之前，您将被踢出。我从这个pdf页面49-50得到了这个想法：phpsecurity.org/ch04.pdf。对不起，老是打一匹死马；-）只是重申一下，如果您的会话被劫持，csrf没有价值。希望这是明确

---

g将在脚本中工作，即使您有正确的会话id。在进入表单之前，您将被踢出。我从这个pdf页面49-50得到了这个想法：phpsecurity.org/ch04.pdf。对不起，老是打一匹死马；-）只是重申一下，如果您的会话被劫持，csrf没有价值。希望这是明确的。它无助于会话劫持或防止会话劫持。检查用户代理和/或IP地址的更改通常会有所帮助，当然，最终的安全性是https:和安全cookies。这无助于保护您的会话，因为每次访问表单时都会生成CSRF令牌。因此，如果我劫持您的会话并使用您的帐户访问该表单，那么将生成一个新的令牌，并且我可以做我喜欢做的事情，而不管CSRF令牌之前是什么。在您的示例中，是匹配对令牌的更改，或者用户是否经过身份验证。您应该只使用令牌来检查数据是否来自可信源。您似乎将其用作辅助会话id，但这并不完全正确。如果您正在从用户的唯一标识符（如会话id和浏览器的用户代理）创建哈希，则可以执行此操作，因为每次都可以对此进行检查。嗨，Daniel，这在很大程度上帮助了我。我以前看过那份文件。我读了另一篇文章，它解释了像我尝试做的令牌系统。你觉得怎么样。第49-50页：我猜只有当cookie被盗时，它才起作用，因此攻击者只有会话id。如果攻击者嗅探http请求，他将同时拥有令牌和id。我也实现了会话重新生成。我只是认为这会作为一种额外的安全措施。是的，我在过去的一个项目中使用了一个类似的会话劫持令牌，它使用了一些非常类似的东西。然后可以将此检查合并到代码中，以检查用户是否经过身份验证。Cookie被盗的主要原因是XSS漏洞，因此请确保在输出上使用htmlentities（），同时进行充分的验证和安全检查，这应该足够了。

public function admin_index(){

session_start();
if(!isset($_SESSION["user"]) || $_GET['token']!=$_SESSION['token']) {
    header("location: login/login_form.php");
    session_destroy();
    exit();
}