Token via Javascript

selection

Tag,

aus PHP kennt man den Sicherheitstoken z.b mit einer 16 stelligen Zufallszahl. Die wird als Session gespeichert und bei jedem POST überprüft ob der Token mit dem $_SESSION['token'] übereinstimmt. Wie mache ich das aber Via Javascript?

Nehmen wir mal an ich habe ein einfaches Script:

PHP:

data.php

Spoiler anzeigen

PHP

<?php

$stmt = $pdo->prepare("INSERT INTO user (name) VALUES (:name);");
$stmt->BindParam(':name', $_POST['name']);
if(!$stmt->execute()) {
    print_r($stmt->errorInfo());
} else {
echo 'Name hinzugefügt';
}   
?>

index.php

Spoiler anzeigen

Code

<div id="output">

</div>

<form id="data-form">
    <p><input type="text" name="name"></p>
    <p><button type="submit" id="send"></p>
</form>

<script>
$('#data-form').submit(function(event) {
    event.preventDefault()
        $.ajax({
            type: 'POST',
               url: 'data.php',
               data: $(this).serialize(),
               success: function(data) {
                $('#output').html(data)
                }
        })
})
</script>

Alles anzeigen

Wie kann ich hier z.b ein Token einfügen?

basti1012

javascript hat wohl sowas wie session id nicht.

Lass dir doch vorher eine id von php geben

mit type=hidden schickst du es mit dein ajax zurück

PHP

<?php $session = md5(microtime()); ?>


       <input type="hidden" name="session" value="<?php echo $session; ?>">

So würde ich es machen,aber ist bestimmt ne sch... idee

JR Cologne

selection Erklär bitte mal genauer, was du vorhast. Sehe aktuell noch nicht wirklich den Sinn hinter deinem Vorhaben.

selection

Zitat von JR Cologne

selection Erklär bitte mal genauer, was du vorhast. Sehe aktuell noch nicht wirklich den Sinn hinter deinem Vorhaben.

https://www.php-einfach.de/experte/php-si…t-forgery-csrf/

Dieses Verfahren in Javascript. Soll halt ein CSRF Schutz sein sobald man das POST-Verfahren anwendet. (Oder halt das GET verfahren)

Ich könnte es so wie Basti es beschrieben hat machen, problem seht ihr aber dann hier im Video:

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Zu meinem Skript im Video:

Bei jedem eingegebenen Buchstaben zeigt er mir alle User an mit den folgenden Suchbegriff den ich eintippe.

Wenn ich jetzt ein Buchstabe eingebe erscheint ja das Post-Verfahren. Sollte ich jedoch einen weiteren Buchstaben eingeben steht da ungültiger Token. Wenn ich es z.b wie oben mache mit einem INSERT, dann passiert das gleiche.

token.php

Spoiler anzeigen

Code

if($_SERVER['REQUEST_METHOD'] === 'POST') {
    
        if(!isset($_POST['token']) || $_POST['token'] !== $_SESSION['token']) {
        
        die("Ung&uuml;ltiger Token");
        
        }
    
    }

    
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));

Alles anzeigen

Data.php

Spoiler anzeigen

PHP

<?php
$stmt = $pdo->prepare("INSERT INTO user (name) VALUES (:name);");
$stmt->BindParam(':name', $_POST['name']);
if(!$stmt->execute()) {
    print_r($stmt->errorInfo());
} else {
echo 'Name hinzugefügt';
}   
?>

Index.php

Spoiler anzeigen

PHP

include 'token.php';

<div id="output">
</div>
<form id="data-form">
    <p><input type="text" name="name"></p>
    <p><input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>"></p>
    <p><button type="submit" id="send"></p>
</form>
<script>
$('#data-form').submit(function(event) {
    event.preventDefault()
        $.ajax({
            type: 'POST',
               url: 'data.php',
               data: $(this).serialize(),
               success: function(data) {
                $('#output').html(data)
                }
        })
})
</script>

Alles anzeigen

JR Cologne

OK, aber warum mit JS?

Arne Drews

Über Ajax wird die Session gehalten, bzw. bleibt diese bekannt.

Das Vorhaben wird i.d.R. eigentlich alternativ zu Ajax mit einem lokalen JS-Array umgesetzt.

Bei der Variante wird halt in dem Array nach Treffern gesucht.

Die Ajax-Variante ist natürlich aber auch möglich. Man muss dann nur bedenken, dass für jede Treffersuche ein HTTP Request durchgeführt wird.

Aber ein session_start() in der Ziel-PHP-Datei des Ajax-Request erkennt die Session und verfügt damit auch über alle darin enthaltenen Werte.

selection

Zitat von JR Cologne

OK, aber warum mit JS?

Weil es ja mit PHP nicht klappt bei mir, da steht ja immer ungültiger Token.

Zitat von Arne Drews

Über Ajax wird die Session gehalten, bzw. bleibt diese bekannt.

Das Vorhaben wird i.d.R. eigentlich alternativ zu Ajax mit einem lokalen JS-Array umgesetzt.

Bei der Variante wird halt in dem Array nach Treffern gesucht.

Die Ajax-Variante ist natürlich aber auch möglich. Man muss dann nur bedenken, dass für jede Treffersuche ein HTTP Request durchgeführt wird.

Aber ein session_start() in der Ziel-PHP-Datei des Ajax-Request erkennt die Session und verfügt damit auch über alle darin enthaltenen Werte.

Ich habe in der Ziel-PHP Datei "session_start();" angewendet. Aber das mit dem HTTP-Request ist mir jetzt neu.

Arne Drews

Was genau ist Dir neu dabei? Ein Ajax-Request ist nichts anderes, wie ein "normaler" Request, nur dass er asynchron läuft, also im Hintergrund. Ein HTTP-Request bleibt es dennoch immer.

selection

Zitat von Arne Drews

Was genau ist Dir neu dabei? Ein Ajax-Request ist nichts anderes, wie ein "normaler" Request, nur dass er asynchron läuft, also im Hintergrund. Ein HTTP-Request bleibt es dennoch immer.

Hab das dann falsch verstanden sorry.

Aber was ist denn jetzt in meinem Skript falsch ? bzw wie sollte es aussehen dass er den Token jedes mal "übernimmt"

Spoiler anzeigen

Code

<script>
        $('#suchform').on('input', function(event) {
            $.ajax({
            type: 'POST',
            url: 'show_user.php',
            data: $(this).serialize(),
            success: function(data) {
                $('#output').html(data);
            }
        });
    });
        </script>

Alles anzeigen

JR Cologne

Mit JS musst du das erst gar nicht versuchen. Das ergibt keinen Sinn.

Mit PHP sollte das perfekt funktionieren. Du hast mit Sicherheit irgendwo einen Fehler drin. Wäre gut, wenn du mal den kompletten Code zeigen würdest.

Wichtig ist übrigens, dass du den Token in der data.php überprüfst. Ansonsten kann man einfach ein Post-Request mit den entsprechenden Daten an data.php schicken.

selection

connect.php

Spoiler anzeigen

Code

<?PHP

SERVERDATEN --

if($_SERVER['REQUEST_METHOD'] === 'POST') {
    
        if(!isset($_POST['token']) || $_POST['token'] !== $_SESSION['token']) {
        
        die("Ung&uuml;ltiger Token");
        
        }
    
    }
    
    $_SESSION['token'] = bin2hex(openssl_random_pseudo_bytes(16));

?>

Alles anzeigen

index.php

Spoiler anzeigen

PHP

<?php 
session_start();
include 'config/connect.php';
?>

<section class="search">
        <form name="theform" id="suchform">
            <p><input type="text" name="find_person" placeholder="Person Suchen" tabindex="1" class="search_btn"></p>
            <p><input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>"></p>
        </form>
        
    </section>
</article>

        <div id="output">
        
        
        </div>

        <script>
        $('#suchform').on('input', function(event) {
            $.ajax({
            type: 'POST',
            url: 'show_user.php',
            data: $(this).serialize(),
            success: function(data) {
                $('#output').html(data);
            }
        });
    });
        </script>

Alles anzeigen

show_user.php

Spoiler anzeigen

PHP

<?php
session_start();
include 'config/connect.php';
include 'function.php';

    $name = filter_var($_POST['find_person'], FILTER_SANITIZE_STRING);
    
    $sql = "SELECT * FROM `user` WHERE `username` LIKE :name_like AND `accept_find` = 1 AND `id` != :id; ";
    $stmt = $pdo->prepare($sql);
    $params = 
        ['name_like' => "%{$name}%",
        'id' => "{$_SESSION["id"]}"
    ];
    
    if(!$stmt->execute($params)) {
        print_r($stmt->errorInfo());
    } 
    
    ?>
    
<article id="main-box">
    <?php while($row = $stmt->fetch()) { ?>

    <article id="box">
    <?php if($countpromis > 0) { ?> <img src="<?php echo $promis['img_user']; ?>" alt=""> <?php } ?>

    <?php if($countpromis == 0) { ?>

    <img src="img/wh.jpg" width="32" height="32">

    <?php } ?>
        <p class="img"><img src="<?php if($row['image'] != '') { echo $row['image']; } else { echo 'img/no.png'; } ?>"></img></p>
    <section class="user_and_job">
    
    <p class="username"><?php echo htmlspecialchars($row['name'], ENT_QUOTES, 'UTF-8') . ' ' . htmlspecialchars($row['nachname'], ENT_QUOTES, 'UTF-8'); ?> <?php if($cert_count > 0) { ?> <img class="cert" alt="certificate" height="24" width="24" src="img/interface_two.png"> <?php } ?> 
    <br>
    <a href="user.php?u=<?php echo $row['id']; ?>">
    <small class="small-name">@<?php echo htmlspecialchars($row['username'], ENT_QUOTES, 'UTF-8'); ?>
    </small>
    </a>
        <small class="text-fan">
        <span class="number-<?= $row['id']; ?>"><?php echo $count_my_fans; ?></span> <span> Fans</span>
        </small>
    </p>


    
    <p class="padding_job">

            
    <?php if($folge_user > 0) { ?>
        <?php if($countprivate > 0 && $row['private'] == '1' || $countprivate2 === 0 && $row['private'] == '1') { ?>
            <a href="like.php?type=do_not_follow_anymore&id=<?php echo htmlspecialchars($row['id'], ENT_QUOTES, 'UTF-8'); ?>" name="follow" class="follow_me_private is_antrag">Anfrage l&ouml;schen</a>

            
        <?php } else { ?>    
            <a href="like.php?type=do_not_follow_anymore&id=<?php echo htmlspecialchars($row['id'], ENT_QUOTES, 'UTF-8'); ?>" name="follow" class="follow_me is_abo">Abboniert</a>        
        <?php } ?>
            
        <?php } else { ?>
    <?php if($countprivate > 0 && $row['private'] == '1' || $countprivate2 === 0 && $row['private'] == '1') { ?>
            <a href="like.php?type=follow_by_private&id=<?php echo htmlspecialchars($row['id'], ENT_QUOTES, 'UTF-8');  ?>" name="follow" class="follow_me_private">Folgen</a>
        <?php } else { ?>
        <a href="like.php?type=folg_user_by_comment&id=<?php echo htmlspecialchars($row['id'], ENT_QUOTES, 'UTF-8');  ?>" name="follow" class="follow_me">Folgen</a>
        <?php } ?>
    <?php } ?>
    
    </p>
    </section>

Alles anzeigen

Ich habe jetzt paar Funktionen weggelassen weil sonst alles zu lang und übersichtlich wäre. Sind ja auch egal, es geht ja auch eig nur um den obigen SQL Code denk ich mal. Danke für die Hilfe möchte dir jetzt nicht große Umstände machen

basti1012

hat wohl nix mit dein problem zu tun haben ,aber du hast bei show_user.php in Zeile 42 das stehen

Code

<span class="number-<?= $row['id']; ?>">

müßte das nicht so heißen

PHP

<span class="number-<?php echo $row['id']; ?>">

??????

wenn ich unrecht habe dann einfach hinüber weg lesen

Arne Drews

<?= ist ein Synonym für <?php echo

Das funktioniert beides gleich

JR Cologne

Genau, das geht beides. Das ist einfach nur eine Kurzform.

OK, habe das Problem entdeckt. Ist eigentlich logisch, muss man nur drauf kommen:

1. Deine Seite index.php mit dem Formular usw. wird geladen. Da die Request-Methode GET ist, wird durch deine eingebundene Datei einfach der Token erstellt und in der Session gespeichert. Anschließend erfolgt die Ausgabe des Tokens im Formular.

2. Du gibst etwas in dein Formular ein. Ein Ajax-Request wird abgesetzt, zusammen mit dem Token aus dem Formular.

3. Die Seite show_user wird im Hintergrund geladen. Da die Request-Methode diesmal POST ist und der Token aus der Session mit dem Token aus dem Formular übereinstimmt, sollte nichts passieren bzw. der User ganz normal angezeigt werden.

Dies geht aber nicht in Erfüllung, da das Setzen der Session außerhalb der if-Abfrage erfolgt. Es wird also immer ausgeführt. Folglich wurde nun der Token in Der Session geändert. Der User wird jedoch erstmal richtig ausgegeben.

4. Du gibst auf der Seite index.php wieder etwas in das Formular ein. Beachte: Die Seite wurde nicht neu geladen. Der Token im Formular ist immer noch der vom Anfang. Der Ajax-Request wird also gesendet, aber noch mit dem alten Token.

5. Wieder wird show_user.php im Hintergrund geladen. Das Ding: Der Token aus der Session stimmt nicht mit dem Token aus dem Formular überein. Die Folge ist dein angesprochener Fehler, dass ein ungültiger Token vermeldet wird.

Eine mögliche Lösung (inkl. kleinen allgemeinen Verbesserungen):

PHP

<?php
  if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(16));
  } else {
    if (empty($_POST['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
      die('Invalid CSRF Token!');
    }
  }
}
?>

Achtung: Code nicht getestet.

Arne Drews

Macht aber keinen Sinn im IF und ELSE dieselbe Bedingung abzufragen.

Wenn $_SESSION['csfr_token'] leer ist, wird immer der IF-Block angesprungen. Die Bedingung kannst Du im ELSE weglassen.

JR Cologne

Was heißt hier dieselbe Bedingung? Verstehe deinen Einwand nicht...

Arne Drews

Du fragst:

Code

WENN csrf_token LEER IST {

    // do something

} ANDERNFALLS {

   WENN csrf_token LEER IST ...

}

Das ist überflüssig, weil an der Stelle csfr_token nicht empty sein kann.

Die Bedingung, die Du mit ODER rangehängt hast, kann hier auch alleine stehen.

Evtl. kann man das auch ohne ELSE schreiben:

PHP

<?php

if ( empty($_SESSION['csrf_token']) )
    $_SESSION['csrf_token'] = bin2hex(random_bytes(16));


if ( !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token']) ) {

    // do something

}
?>

Alles anzeigen

Nach Verarbeitung des ersten IF kann csrf_token nicht mehr leer sein.

JR Cologne

Nein, das war schon richtig so. Im else-Teil frage ich lediglich ab, ob der Token im Formular gesetzt wurde, also in $_POST hinterlegt ist.

Arne Drews

Jo, Du hast recht, ich habe mich verlesen.

Aber auch das wäre genau genommen überflüssig, weil bei einem leeren $_POST['csrf_token'] das hash_equals() auch false liefern würde.

selection

Zitat von JR Cologne
Genau, das geht beides. Das ist einfach nur eine Kurzform.

OK, habe das Problem entdeckt. Ist eigentlich logisch, muss man nur drauf kommen:

1. Deine Seite index.php mit dem Formular usw. wird geladen. Da die Request-Methode GET ist, wird durch deine eingebundene Datei einfach der Token erstellt und in der Session gespeichert. Anschließend erfolgt die Ausgabe des Tokens im Formular.

2. Du gibst etwas in dein Formular ein. Ein Ajax-Request wird abgesetzt, zusammen mit dem Token aus dem Formular.

3. Die Seite show_user wird im Hintergrund geladen. Da die Request-Methode diesmal POST ist und der Token aus der Session mit dem Token aus dem Formular übereinstimmt, sollte nichts passieren bzw. der User ganz normal angezeigt werden.

Dies geht aber nicht in Erfüllung, da das Setzen der Session außerhalb der if-Abfrage erfolgt. Es wird also immer ausgeführt. Folglich wurde nun der Token in Der Session geändert. Der User wird jedoch erstmal richtig ausgegeben.

4. Du gibst auf der Seite index.php wieder etwas in das Formular ein. Beachte: Die Seite wurde nicht neu geladen. Der Token im Formular ist immer noch der vom Anfang. Der Ajax-Request wird also gesendet, aber noch mit dem alten Token.

5. Wieder wird show_user.php im Hintergrund geladen. Das Ding: Der Token aus der Session stimmt nicht mit dem Token aus dem Formular überein. Die Folge ist dein angesprochener Fehler, dass ein ungültiger Token vermeldet wird.

Eine mögliche Lösung (inkl. kleinen allgemeinen Verbesserungen):
PHP
<?php
  if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(16));
  } else {
    if (empty($_POST['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
      die('Invalid CSRF Token!');
    }
  }
}
?>
Achtung: Code nicht getestet.
Alles anzeigen

Ok super das Prinzip hab ich jetzt verstanden. Jedoch zeigt er mir immer Invalid CSRF Token an.

Hab 2 Varianten ausprobiert:

Connect.php

Spoiler anzeigen

Code

--SERVERDATEN

if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(16));
  } else {
    if (empty($_POST['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
      die('Invalid CSRF Token!');
    }
  }
}

Index.php

Spoiler anzeigen

PHP

<form name="theform" id="suchform">
            <p><input type="text" name="find_person" placeholder="Person Suchen" tabindex="1" class="search_btn"></p>
            <p><input type="hidden" name="token" value="<?php echo $_SESSION['csrf_token']; ?>"></p>
        </form>

Mit dieser Variante komm ich nichtmal auf meine Seite der beendet sofort alles und sagt ungültiger Token.

Variante 2:

Connect.php

Spoiler anzeigen

Code

--SERVERDATEN

$_SESSION['csrf_token'] = bin2hex(random_bytes(16));

show_user.php

Spoiler anzeigen

PHP

<?php
session_start();
include 'config/connect.php';
include 'function.php';



  if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(16));
  } else {
    if (empty($_POST['csrf_token']) || !hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
      die('Invalid CSRF Token!');
    }
  }


    $name = filter_var($_POST['find_person'], FILTER_SANITIZE_STRING);
    
    $sql = "SELECT * FROM `user` WHERE `username` LIKE :name_like AND `accept_find` = 1 AND `id` != :id; ";
    $stmt = $pdo->prepare($sql);
    $params = 
        ['name_like' => "%{$name}%",
        'id' => "{$_SESSION["id"]}"
    ];
    
    if(!$stmt->execute($params)) {
        print_r($stmt->errorInfo());
    } 
    
    ?>
.....

Alles anzeigen

So zeigt er mir wie im video jedes mal ungültiger Token

Jetzt mitmachen!