Maison  >  Article  >  développement back-end  >  Analyse de sécurité de la soumission anti-shake et anti-duplicata en PHP

Analyse de sécurité de la soumission anti-shake et anti-duplicata en PHP

WBOY
WBOYoriginal
2023-10-12 14:54:45835parcourir

PHP 中的防抖和防重复提交的安全性分析

Analyse de sécurité de la soumission anti-shake et anti-duplicata en PHP

Introduction :
Avec le développement de sites Web et d'applications, les formulaires Web sont devenus l'un des moyens importants d'interagir avec les utilisateurs. Une fois que l'utilisateur a rempli le formulaire et cliqué sur le bouton Soumettre, le serveur recevra et traitera les données soumises. Cependant, en raison de retards sur le réseau ou de mauvaises opérations de l'utilisateur, le formulaire peut être soumis plusieurs fois. Les soumissions répétées augmenteront non seulement la charge sur le serveur, mais peuvent également entraîner divers problèmes de sécurité, tels que l'insertion répétée de données, des opérations non autorisées, etc. Afin de résoudre ces problèmes, nous pouvons utiliser des technologies de soumission anti-shake et anti-duplicata.

1. Le principe et la mise en œuvre de l'anti-shake
L'anti-shake est une technologie de traitement des événements déclencheurs manuels. Son principe est de définir un délai après l'événement déclencheur uniquement si l'événement n'est pas déclenché à nouveau dans ce délai. , la réponse correspondante sera exécutée. Si l'événement est à nouveau déclenché dans le délai imparti, la minuterie sera redémarrée et l'opération ne sera pas effectuée tant que l'événement n'est pas à nouveau déclenché dans le délai imparti.

En PHP, nous pouvons implémenter une fonction anti-shake via JavaScript et AJAX. Tout d'abord, dans la page frontale, nous utilisons JavaScript pour écouter l'événement de soumission du formulaire et empêcher le comportement de soumission par défaut du formulaire. Ensuite, utilisez la technologie AJAX pour envoyer les données du formulaire à un programme PHP en arrière-plan pour traitement. Dans les programmes PHP, nous pouvons implémenter la fonction anti-shake en définissant un délai. L'opération correspondante ne sera effectuée que si la même demande n'est pas reçue à nouveau dans le délai.

Ce qui suit est un exemple de code spécifique :

<script>
    var timer; // 定时器

    document.getElementById("submitBtn").addEventListener("click", function(event) {
        event.preventDefault(); // 阻止表单的默认提交行为
        
        clearTimeout(timer); // 清除之前的定时器
        
        timer = setTimeout(function() {
            // 发送 AJAX 请求
            var xhr = new XMLHttpRequest();
            xhr.open("POST", "handle_form.php", true);
            xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            xhr.onreadystatechange = function() {
                if (xhr.readyState == 4 && xhr.status == 200) {
                    console.log(xhr.responseText);
                }
            };
            xhr.send(new FormData(document.getElementById("form")));
        }, 500); // 延迟时间设置为 500 毫秒
    });
</script>

Dans cet exemple, nous utilisons la fonction setTimeout pour définir une minuterie avec un délai de 500 millisecondes. Chaque fois que vous cliquez sur le bouton de soumission, si vous cliquez à nouveau sur le bouton de soumission dans les 500 millisecondes, le minuteur précédent sera effacé puis réinitialisé avec un délai de 500 millisecondes. La requête AJAX ne sera exécutée que si le bouton de soumission n'est pas cliqué à nouveau dans le délai imparti. setTimeout 函数设置了一个延迟时间为 500 毫秒的定时器。每次点击提交按钮时,如果在 500 毫秒内再次点击提交按钮,就会先清除之前的定时器然后重新设置一个延迟时间为 500 毫秒的定时器。只有在延迟时间内没有再次点击提交按钮,才会执行 AJAX 请求。

二、防重复提交的原理与实现
防重复提交是一种确保每次提交请求只执行一次的技术,它的原理是在第一次提交请求后,记录一个标记(如一个 Token 或一个时间戳),并将这个标记存储在用户的会话中。当用户再次提交请求时,首先检查会话中是否存在这个标记,如果存在则表示请求已经提交过了,直接拒绝第二次提交;如果不存在,则表示是首次提交,执行相应的操作并记录这个标记到会话中。

在 PHP 中,我们可以通过会话存储和表单字段的校验来实现防重复提交功能。首先,在表单中添加一个唯一标识符(可以是一个隐藏字段或一个 Token),每次提交请求时将这个唯一标识符一同提交到后台。在 PHP 程序中,首先检查会话中是否存在这个唯一标识符,如果存在则表示请求已经提交过了,直接拒绝第二次提交;如果不存在,则表示是首次提交,执行相应的操作并将这个唯一标识符记录到会话中。

以下是一个具体的示例代码:

<?php
session_start();

// 校验表单字段
if ($_POST["token"] != $_SESSION["token"]) {
    die("重复提交请求!");
}

// 处理表单提交
// ...

// 记录唯一标识符到会话中
$_SESSION["token"] = uniqid();
?>

在这个示例中,我们首先通过 session_start() 函数开启会话,并校验表单字段 $_POST["token"] 是否与会话中的标识符 $_SESSION["token"] 相等。如果不相等,则表示是重复提交请求,直接结束程序并输出错误提示;如果相等,则表示是首次提交请求,执行相应的操作并将唯一标识符 uniqid()

2. Principe et mise en œuvre de la soumission anti-doublon

La soumission anti-doublon est une technologie qui garantit que chaque demande soumise n'est exécutée qu'une seule fois. Son principe est d'enregistrer une marque (comme un Token ou un horodatage) et de la stocker. tampon dans la session de l'utilisateur. Lorsque l'utilisateur soumet à nouveau une demande, vérifiez d'abord si cette marque existe dans la session. Si elle existe, cela signifie que la demande a été soumise, et la deuxième soumission est directement rejetée si elle n'existe pas, cela signifie qu'elle l'est. la première soumission, effectuez l'opération correspondante et enregistrez cette marque dans la conversation.

En PHP, nous pouvons implémenter la fonction de soumission anti-doublon via le stockage de session et la vérification des champs de formulaire. Tout d'abord, ajoutez un identifiant unique (peut être un champ caché ou un jeton) au formulaire, et soumettez cet identifiant unique en arrière-plan à chaque fois qu'une demande est soumise. Dans le programme PHP, vérifiez d'abord si cet identifiant unique existe dans la session. S'il existe, cela signifie que la demande a été soumise, et la deuxième soumission est directement rejetée si elle n'existe pas, cela signifie que c'est la première ; soumission, et l'opération correspondante est effectuée et la demande est soumise. Un identifiant unique est connecté à la session. 🎜🎜Ce qui suit est un exemple de code spécifique : 🎜rrreee🎜Dans cet exemple, nous ouvrons d'abord la session via la fonction session_start() et vérifions le champ du formulaire $_POST["token"] est égal à l'identifiant $_SESSION["token"] dans la session. S'ils ne sont pas égaux, cela signifie que la demande est soumise à plusieurs reprises, et le programme se termine directement et un message d'erreur est généré. S'ils sont égaux, cela signifie que la demande est soumise pour la première fois, l'opération correspondante est effectuée et ; l'identifiant unique uniqid() est enregistré en session. 🎜🎜Conclusion : 🎜La soumission anti-secousse et anti-répétitive offre une certaine garantie pour la sécurité des formulaires web. Grâce aux moyens techniques de soumission anti-tremblement et anti-répétitif, nous pouvons efficacement éviter le problème de soumission répétée de formulaires causée par une mauvaise utilisation de l'utilisateur ou un retard du réseau. Cependant, la soumission anti-tremblement et anti-doublon ne peut résoudre que certains problèmes de sécurité et ne peut pas garantir complètement la sécurité des données. Par conséquent, dans le développement actuel, d'autres mesures de sécurité doivent être combinées pour améliorer la sécurité des formulaires Web, telles que la vérification des données, le contrôle des autorisations, etc. 🎜

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn