Proteção CSRF

Proteção CSRF

csrf_token() gera um token vinculado à sessão. csrf_field() produz um input hidden. csrf_verify() valida no POST.

Token atual

f716a26e6b80f0702d2f33c191e73bf7524ed387332b8625213c09a552257338

Token armazenado na sessão e único por requisição.

Testar verificação

Envie este formulário para testar a verificação CSRF:

Ou tente sem token — será rejeitado:

Referência

// No controller
$token = csrf_token();       // obtém ou gera token
$field = csrf_field();       // 

// Verificar (retorna bool)
if (csrf_verify()) {
    // token válido
} else {
    // token inválido ou ausente
}

// Regenerar token
csrf_regenerate();

// Sempre use em formulários POST:
// <form method="POST">
//     <?= csrf_field() ?>