PHP 令牌安全是一種非常重要的安全技術，用于防止跨站請求偽造（CSRF）攻擊。在許多 web 應用程序中，用戶在登錄后可能會在系統中進行各種操作，例如更改密碼、提交表單等等。這些操作都需要合法的請求令牌，否則將導致系統被攻擊者利用，造成損失。
舉個例子，假設一個在線購物網站需要用戶登錄后才能進行訂單提交。用戶輸入用戶名和密碼登錄后，系統會生成一個隨機的令牌，并將其存儲在 cookie 中。當用戶提交訂單時，系統會驗證 cookie 中存儲的令牌，以確保請求是合法的。如果請求不含有效的令牌，則系統將拒絕請求并顯示錯誤信息。
為了保護應用程序免受 CSRF 攻擊，可以使用 PHP 中提供的令牌安全機制。令牌是一種隨機字符串，可確保只有合法用戶才能訪問應用程序。使用令牌機制，網站可以阻止嗅探、中間人和其他攻擊。
以下是示例代碼，展示如何在 PHP 中實現令牌安全機制：

<?php
session_start();
if (!isset($_SESSION['token'])) {
$_SESSION['token'] = bin2hex(random_bytes(32));
}
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (!hash_equals($_SESSION['token'], $_POST['token'])) {
die('Invalid token');
}
// Valid token, do the rest of the processing
}
?>
<form method="post" action="/submit">
<input type="hidden" name="token" value="<?php echo $_SESSION['token']; ?>">
<!-- Other form fields go here -->
<input type="submit" value="Submit">
</form>

上面的示例代碼中，我們首先使用 PHP 的 session_start() 函數來開始接收 session。我們使用 session 存儲安全令牌，以便后續使用。
接下來，我們檢查 $_SESSION['token'] 是否存在。如果不存在，我們使用 PHP 的 random_bytes() 函數生成一個隨機的 32 字節字符串，并將其存儲在 session 中。
當用戶提交表單信息時，我們檢查 $_POST['token'] 是否存在，以確保用戶已經提交了一個有效的令牌。使用 PHP 的 hash_equals() 函數比較存儲在 session 中的令牌和用戶提交的令牌，以確保它們匹配。如果不匹配，則拒絕請求。
最后，我們將有效的令牌添加到我們的表單中，以便用戶可以提交它并且它將被驗證。這里我們使用了隱藏字段來避免在表單中暴露令牌。
總之，PHP 令牌安全是一種有效的機制，用于防止跨站請求偽造。通過實現這個機制，我們可以保護 web 應用程序免受各種 CSRF 攻擊。建議你在開發 PHP 應用程序時，添加這種安全機制來保護你的系統。