一度CRSFエラーを吐いて画面に表示された物が消えない

皆様いつもお世話になっております。
CRSFエラーを吐くようにコードを組んだのですが、一度エラーが画面に表示された後に新たに登録してもエラーメッセージが消えません。どうしたらよいでしょうか？

ご教授のほどよろしくお願いします。

PHP
1<?php
2function insertSQL($post){
3    $user = "root";
4    $pass = "root";
5    try{
6        $dbh =new PDO('mysql:host=localhost;dbname=todo;charset=utf8', $user, $pass);
7        $stmt = $dbh->prepare("insert into todo values ('', :post)");
8        #$stmt -> bindParam(':name', $myname, PDO::PARAM_STR);評価語にバインドされる
9        #$stmt -> bindValue(':age', $myage, PDO::PARAM_STR);バインド時に評価される
10        $stmt->bindParam(':post', $post, PDO::PARAM_STR);
11        $stmt-> execute();
12        $stmt = NULL;
13    }catch (PDOException $e){
14        echo $e->getMessage();
15        die();
16    }
17}
18
19function selectSQL(){
20    $user = "root";
21    $pass = "root";
22    try{
23        $dbh = new PDO('mysql:host=localhost;dbname=todo;charset=utf8', $user, $pass);
24        $stmt = $dbh->query("select todo from todo");
25        #$todo_list = array();
26        foreach ($stmt as $value) {
27            #$todo_list = "$value[todo]<br>";
28            echo"$value[todo]"."<input type='text' value='<?php echo time() ?>'><br>";
29        }
30    }catch (PDOException $e){
31        echo $e->getMessage();
32        die();
33    }
34}
35
36/* トークンをセッションにセット */
37function setToken() {
38    $token = rtrim(base64_encode(openssl_random_pseudo_bytes(32)),'=');
39    $_SESSION['token'] = $token;
40}
41
42/* トークンをセッションから取得 */
43function checkToken() {
44    if(empty($_SESSION['token']) || ($_SESSION['token'] != $_POST['token'])) {
45        echo 'CSRFの可能性アリ';
46    }
47}
48
49/* チェック用関数 */
50function checkDump() {
51    if (isset($_POST['token'])) {
52        var_dump($_SESSION['token']);
53        var_dump($_POST['token']);
54    }
55}
56
57@session_start();
58
59if ($_SERVER['REQUEST_METHOD'] != 'POST') {
60    setToken();
61    checkDump();
62    if (isset($_POST["submit"])){
63        insertSQL($_POST["user_todo"]);
64    }
65} else {
66    checkToken();
67    checkDump();
68}
69
70
71?>
72<!doctype html>
73<html lang="en">
74<head>
75    <meta charset="UTF-8">
76    <meta name="viewport"
77          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
78    <meta http-equiv="X-UA-Compatible" content="ie=edge">
79    <title>ToDo List</title>
80</head>
81<body>
82<form action="todo.php" method="post">
83    <input type="text" name="user_todo">
84    <input type="submit" name="submit" value="登録">
85</form>
86
87<?php
88
89selectSQL();
90
91?>
92
93</body>
94</html>

退会済みユーザー

2018/04/12 23:46

F5を何度も押してそのエラーが消えるのならCSRFの意味がないのですが

退会済みユーザー

2018/04/12 23:49

前の質問の回答通り概念を覚えてから質問か概念のわからないところを質問してください

kalon

2018/04/12 23:56 編集

ご指摘のほどありがとうございます。。もう一度読み直してみます。

defghi1977

2018/04/12 23:53

CRSF（チャイルドレジスタンス・シニアフレンドリー）？

退会済みユーザー

2018/04/13 00:07

defghi1977 ある意味知識の誤飲だからそれもただしいな（ｗ。

行動規範の内容に同意します

回答1件

ベストアンサー

<form action="todo.php" method="post">
    <input type="text" name="user_todo">
    <input type="hidden" name="token" value="<?php  echo tokenの値が設定された変数;?>">
    <input type="submit" name="submit" value="登録">
</form>

のように、POST値にtokenが含まれていないことが原因ではないかと思います。

投稿2018/04/13 02:02