'; }
// Vérifie le jeton CSRF sur les requêtes POST, sinon bloque avec 400
function verify_csrf(): void {
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$t = $_POST['csrf'] ?? '';
if (!$t || !hash_equals($_SESSION['csrf_token'] ?? '', $t)) {
http_response_code(400);
echo "Requête invalide
Jeton CSRF manquant ou invalide.
";
exit;
}
}
}