Mengamankan form codeigniter dari serangan CSRF

07/07/2015    Rido Sandi Atmanto    7239    Website

Halo teman-teman dumetschool !

Form html merupakan sarana yang penting sebagai media pengiriman nilai di PHP. Namun tahukah teman-teman jika form juga menjadi salah satu kelemahan dari aplikasi web berbasis PHP?

Pada kali ini saya ingin memberikan cara bagaimana mengamankan form codeigniter dari serangan CSRF. CSRF pada intinya memanfaatkan halaman form yang disediakan, hanya saja si peretas memanfaatkan kesalahan design alur web dengan menyamar seakan-akan merupakan pengguna yang sah untuk mengakses, mengubah, bahkan menghapus fitur tertentu dalam sebuah web.

Salah satu solusinya adalah dengan menggunakan kunci unik setiap kali form dieksekusi. Codeigniter sudah menyediakan fitur ini sebagai pencegahan serangan yang tidak diinginkan. Lalu bagaimana cara mengaktifkannya? Cukup mudah sebenarnya teman-teman. Pastikan nilai csrf_protection menjadi true di file config.php codeigniter.

Setelah itu teman-teman cukup menggunakan form_open() disetiap form yang digunakan. Dengan demikian maka Codeigniter akan secara otomatis membuat id unik untuk setiap form.

Jika teman-teman menggunakan form html biasa maka perlu menambahkan script ini didalam form agar fitur CSRF tetap aktif.

<?php echo  form_hidden($this->security->get_csrf_token_name(), $this->security->get_csrf_hash());  ?>

Selamat mencoba dan semoga bermanfaat

No data.