Analyse des erreurs de jeton de formulaire et solutions sous ThinkPHP

Cet article présente principalement les erreurs et les solutions des jetons de formulaire sous ThinkPHP. Il analyse plus en détail les principes, les configurations, les causes d'erreur et les solutions correspondantes des jetons de formulaire thinkPHP. Les amis dans le besoin peuvent s'y référer

L'exemple. dans cet article décrit les erreurs de jeton de formulaire et les solutions sous ThinkPHP. Partagez-le avec tout le monde pour votre référence, les détails sont les suivants :

Au cours du processus de développement du projet, j'ai parfois rencontré l'"erreur de jeton de formulaire" provoquée par le système lors de l'ajout et de la modification de données. Je n'y ai pas prêté beaucoup d'attention au début, jusqu'à aujourd'hui. Dans l'après-midi, le contrôle qualité a mentionné ce problème au système de bogues. J'avais donc du temps libre, alors j'ai suivi le code source de TP3.13 et je l'ai lu après quelques instants. minutes, je connaissais toute l’histoire.

Pour activer les jetons de formulaire dans un projet, vous devez généralement effectuer la configuration suivante dans le fichier de configuration

// 是否开启令牌验证
'TOKEN_ON' => true,
// 令牌验证的表单隐藏字段名称
'TOKEN_NAME' => '__hash__',
//令牌哈希验证规则 默认为MD5
'TOKEN_TYPE' => 'md5',
//令牌验证出错后是否重置令牌 默认为true
'TOKEN_RESET' => true

Prendre les données d'édition à titre d'exemple, il y a généralement un modèle sur le serveur avec des règles de filtrage de champs et une action avec un code de détection de données, tel que

$table = D('table');
if(!$table->create()){
  exit($this->error($table->getError()));
}

Puis doublez- cliquez sur créer sur l'IDE () Localisez la méthode create dans Model.class.php dans le framework TP

/**
* 创建数据对象 但不保存到数据库
* @access public
* @param mixed $data 创建数据
* @param string $type 状态
* @return mixed
*/
public function create($data='',$type='') {
  ……省略……
  // 表单令牌验证
  if(!$this->autoCheckToken($data)) {
    $this->error = L('_TOKEN_ERROR_');
    return false;
  }
  ……省略……
}

Lorsque vous verrez le code, vous verrez comprenez qu'une erreur sera signalée lorsque la méthode autoCheckToken ne parvient pas à détecter, puis suivez cette méthode

// 自动表单令牌验证
// TODO ajax无刷新多次提交暂不能满足
public function autoCheckToken($data) {
  // 支持使用token(false) 关闭令牌验证
  // 如果在Action写了D方法，但没有对应的Model文件，那么$this->options为空
  if(isset($this->options['token']) && !$this->options['token']) return true;
  if(C('TOKEN_ON')){
    $name  = C('TOKEN_NAME');
    if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌数据无效
      return false;
    }
    // 令牌验证
    list($key,$value) = explode('_',$data[$name]);
    if($value && $_SESSION[$name][$key] === $value) { // 防止重复提交
      unset($_SESSION[$name][$key]); // 验证完成销毁session
      return true;
    }
    // 开启TOKEN重置
    if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]);
    return false;
  }
  return true;
}

Après avoir lu ce code, vous constaterez qu'il y a est $_SESSION[$name] au premier jugement, alors d'où vient cette variable de visualisation ? Elle doit démarrer lors de la génération du jeton. Localisez le fichier TokenBuildBehavior.class.php

// 创建表单令牌
private function buildToken() {
  $tokenName = C('TOKEN_NAME');
  $tokenType = C('TOKEN_TYPE');
  if(!isset($_SESSION[$tokenName])) {
    $_SESSION[$tokenName] = array();
  }
  // 标识当前页面唯一性
  $tokenKey  = md5($_SERVER['REQUEST_URI']);
  if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同页面不重复生成session
    $tokenValue = $_SESSION[$tokenName][$tokenKey];
  }else{
    $tokenValue = $tokenType(microtime(TRUE));
    $_SESSION[$tokenName][$tokenKey]  = $tokenValue;
  }
  $token   = &#39;<input type="hidden" name="&#39;.$tokenName.&#39;" value="&#39;.$tokenKey.&#39;_&#39;.$tokenValue.&#39;" />&#39;;
  return $token;
}

.

ici Ce code est principalement utilisé pour générer une valeur de jeton en utilisant TOKEN_NAME et le md5 de l'URI actuel lorsque TP active la vérification du formulaire. Ensuite, lorsque l'utilisateur soumet le formulaire, il vérifie d'abord si la session. existe. Sinon, il renvoie false. Si c'est le cas, il renvoie false. Vérifiez ensuite avec le champ de formulaire TOKEN_NAME. S'ils sont cohérents, supprimez d'abord la session (pour éviter de soumettre l'erreur de jeton de formulaire la prochaine fois) et renvoyez true, sinon renvoyez. FAUX.

ok, revenons au sujet, il n'y a que deux possibilités d'erreurs de token lors de la soumission de formulaires sous TP

1 Lorsque le token est activé, dans le formulaire soumis, il n'y a pas de TOKEN_NAME. champ ou aucune session correspondante (dans l'environnement actuel du formulaire de soumission, aucune session correspondante n'est générée. Cela est principalement dû au fait qu'une erreur est signalée après la soumission de l'utilisateur et que l'utilisateur actualise ensuite la page actuelle. En même temps, la page d'édition et le la page d'affichage sont dans la même méthode)

2. Il existe une variable de session, mais les valeurs avant et après sont différentes

La raison pour laquelle cette erreur se produit dans notre projet peut être vue dans la configuration suivante

return array (
  'TOKEN_ON' => 'false',
  'TOKEN_NAME' => '__hash__',
  'TOKEN_TYPE' => 'md5',
  'TOKEN_RESET' => 'true',
  'DB_FIELDTYPE_CHECK' => 'true'
);

À l'origine, cela devrait être écrit aussi faux qu'une valeur booléenne, mais je ne sais pas quel héros l'a écrit aussi faux qu'une valeur booléenne chaîne. Ensuite, bien sûr, le jugement sera basé sur la logique d'ouverture du jeton de formulaire, et dans le projet, ajoutez, Les méthodes d'édition et d'affichage sont les mêmes. Une fois qu'une erreur de vérification se produit, la logique générale de traitement du programme reviendra. l'interface d'origine, ce sera donc le même formulaire que la dernière fois. La soumission continue du même formulaire équivaut à une soumission répétée, alors une "Erreur de jeton de formulaire" sera signalée.

Recommandations associées :

Comment thinkPHP implémente la fonction d'enregistrement

ThinkPHP implémente Excel Import et export de données (avec dossier complet)

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!