Maison  >  Article  >  développement back-end  >  Analyse et résolution des erreurs de jeton de formulaire sous ThinkPHP

Analyse et résolution des erreurs de jeton de formulaire sous ThinkPHP

*文
*文original
2018-01-03 11:45:211785parcourir

Comment résoudre l'erreur de jeton de formulaire sous ThinkPHP ? Cet article présente principalement les erreurs et les solutions des jetons de formulaire sous ThinkPHP, et analyse plus en détail les principes, les configurations, les causes d'erreur et les solutions correspondantes des jetons de formulaire thinkPHP. Les amis dans le besoin peuvent s'y référer. J'espère que cela sera utile à tout le monde.

Les détails sont les suivants :

Au cours du processus de développement du projet, j'ai parfois rencontré une "erreur de jeton de formulaire" provoquée par le système lors de l'ajout et de la modification de données que je n'ai pas payées. J'y ai prêté beaucoup d'attention au début, jusqu'à cet après-midi. Le QA a mentionné ce problème au système de bogues, et il avait du temps libre, alors il a suivi le code source de TP3.13 et l'a lu après quelques minutes, il connaissait le code source. toute l'histoire.

Pour activer les jetons de formulaire dans le projet, vous devez généralement effectuer la configuration suivante dans le fichier de configuration

// 是否开启令牌验证
'TOKEN_ON' => true,
// 令牌验证的表单隐藏字段名称
'TOKEN_NAME' => '__hash__',
//令牌哈希验证规则 默认为MD5
'TOKEN_TYPE' => 'md5',
//令牌验证出错后是否重置令牌 默认为true
'TOKEN_RESET' => true

Prenons l'exemple de l'édition des données. Il y a généralement un modèle sur le serveur. côté avec des règles de filtrage de champ écrites dessus, l'action écrit le code de détection de données, tel que

$table = D('table');
if(!$table->create()){
  exit($this->error($table->getError()));
}

Ensuite, double-cliquez sur create() sur l'EDI pour localiser la méthode de création

/**
* 创建数据对象 但不保存到数据库
* @access public
* @param mixed $data 创建数据
* @param string $type 状态
* @return mixed
*/
public function create($data='',$type='') {
  ……省略……
  // 表单令牌验证
  if(!$this->autoCheckToken($data)) {
    $this->error = L('_TOKEN_ERROR_');
    return false;
  }
  ……省略……
}
Lorsque vous verrez le code, vous comprendrez qu'une erreur sera signalée lorsque la méthode autoCheckToken ne parvient pas à détecter, puis continuez à suivre cette méthode


// 自动表单令牌验证
// TODO ajax无刷新多次提交暂不能满足
public function autoCheckToken($data) {
  // 支持使用token(false) 关闭令牌验证
  // 如果在Action写了D方法,但没有对应的Model文件,那么$this->options为空
  if(isset($this->options['token']) && !$this->options['token']) return true;
  if(C('TOKEN_ON')){
    $name  = C('TOKEN_NAME');
    if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌数据无效
      return false;
    }
    // 令牌验证
    list($key,$value) = explode('_',$data[$name]);
    if($value && $_SESSION[$name][$key] === $value) { // 防止重复提交
      unset($_SESSION[$name][$key]); // 验证完成销毁session
      return true;
    }
    // 开启TOKEN重置
    if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]);
    return false;
  }
  return true;
}
Après avoir lu ce code, vous trouverez le premier Il y a $_SESSION[$name] dans le jugement, alors d'où vient cette variable de visualisation. Cela doit commencer lors de la génération du jeton. le fichier TokenBuildBehavior.class.php


// 创建表单令牌
private function buildToken() {
  $tokenName = C('TOKEN_NAME');
  $tokenType = C('TOKEN_TYPE');
  if(!isset($_SESSION[$tokenName])) {
    $_SESSION[$tokenName] = array();
  }
  // 标识当前页面唯一性
  $tokenKey  = md5($_SERVER['REQUEST_URI']);
  if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同页面不重复生成session
    $tokenValue = $_SESSION[$tokenName][$tokenKey];
  }else{
    $tokenValue = $tokenType(microtime(TRUE));
    $_SESSION[$tokenName][$tokenKey]  = $tokenValue;
  }
  $token   = &#39;<input type="hidden" name="&#39;.$tokenName.&#39;" value="&#39;.$tokenKey.&#39;_&#39;.$tokenValue.&#39;" />&#39;;
  return $token;
}
Ce code est principalement utilisé pour générer une valeur de jeton en utilisant TOKEN_NAME et le md5 de l'URI actuel lorsque TP active la vérification du formulaire lorsque l'utilisateur soumet le. formulaire, il vérifie d'abord si la session existe. Sinon, il renvoie false. Si c'est le cas, vérifiez ensuite avec le champ du formulaire TOKEN_NAME. S'ils sont cohérents, supprimez d'abord la session (pour éviter l'erreur de soumission du jeton de formulaire la prochaine fois. ) et renvoie vrai, sinon renvoie faux.


ok, revenons au sujet, il n'y a que deux possibilités d'erreurs de token lors de la soumission du formulaire sous TP

1 Soumettre avec le token activé Dans le formulaire, il n'y a pas de TOKEN_NAME. champ ou aucune session correspondante (dans l'environnement actuel du formulaire de soumission, aucune session correspondante n'est générée. Cela est principalement dû au fait qu'une erreur est signalée après la soumission de l'utilisateur et que l'utilisateur actualise ensuite la page actuelle. En même temps, la page d'édition et le la page d'affichage sont dans la même méthode)

2. Il existe une variable de session, mais les valeurs avant et après sont différentes

La raison pour laquelle cette erreur se produit dans notre projet, vous pouvez regardez la configuration suivante

return array (
  &#39;TOKEN_ON&#39; => &#39;false&#39;,
  &#39;TOKEN_NAME&#39; => &#39;__hash__&#39;,
  &#39;TOKEN_TYPE&#39; => &#39;md5&#39;,
  &#39;TOKEN_RESET&#39; => &#39;true&#39;,
  &#39;DB_FIELDTYPE_CHECK&#39; => &#39;true&#39;
);
Ça devrait être Si false est écrit comme une valeur booléenne, je ne sais pas quel héros l'a écrit aussi faux qu'une chaîne Alors bien sûr, le jugement sera basé. sur la logique d'ouverture du jeton de formulaire, et dans le projet, l'ajout, l'édition et l'affichage sont tous la même méthode. Une fois qu'une erreur de vérification se produit, la logique générale de traitement du programme reviendra à l'interface d'origine, ce sera alors le même formulaire. comme la dernière fois. La soumission continue du même formulaire équivaut à une soumission répétée, alors une « erreur de jeton de formulaire » sera signalée.


Recommandations associées :

Explication détaillée des extensions et plug-ins comportementaux de ThinkPHP

Explication détaillée de la façon dont ThinkPHP génère et vérifie les codes de vérification

Explication détaillée de l'URL thinkphp5 et des fonctions de routage avec des exemples

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn