목표 달성 방법:
반복 제출을 방지하는 방법
SESSION에 배열을 저장합니다. 이 배열은 백그라운드 처리 중에 토큰이 이 배열에 있는지 확인합니다. , 존재하는 경우 반복 제출이라는 의미입니다.
원본을 확인하는 방법은 무엇입니까?
선택 사항으로, 이 토큰이 생성되면 다른 사람이 귀하의 HTML(토큰 복사본)을 복사하면 추가됩니다. , 제출 시 이론적으로 토큰에 포함된 session_id가 현재 session_id와 같지 않으면 제출이 외부 제출이라고 판단할 수 있습니다.
실행할 작업을 어떻게 일치시킬 수 있나요?
토큰화할 때? , 토큰의 액션 이름은 이 토큰에 작성해야 처리 중에 액션을 해결하고 비교할 수 있습니다.
전에 작성한 GToken은 위에서 언급한 두 번째 사항을 달성하지 못했습니다. 그리고 기능 추가 2. 개인적으로 괜찮은 것 같아요.
코드를 살펴보시고 뭔가 불합리하다고 느끼시면 조언 부탁드립니다.
감사합니다.
GEncrypt.inc.php:
코드 복사 코드는 다음과 같습니다.
코드 복사 코드는 다음과 같습니다.
class GEncrypt는 GSuperclass를 확장합니다 {
protected static function keyED($txt,$encrypt_key){
$encrypt_key = md5($encrypt_key)
$ctr=0; > $tmp = "";
for ($i=0;$i
$encrypt_key = md5(((float) date("YmdHis") rand(1000000000000000,9999999) 9999999999)).rand( 100000,999999));
$ctr=0;
$tmp = ""; if ($ctr==strlen($encrypt_key)) $ctr=0; ,$ctr, 1));
$ctr ;
} }
return base64_encode(self::keyED($tmp,$key))
공개 정적 함수 decrypt($ txt,$key) 🎜> $txt = self::keyED( base64_decode($txt),$key)
$tmp = ""
for ($i=0;$i
$i ;
$tmp.= (substr($txt,$i,1) ^ $md5);
GToken.inc.php
메서드:
a, granteToken 매개변수: formName(작업 이름), key는 암호화/해독 키입니다.
암호화(formName) 형식의 문자열을 반환합니다. : session_id)
b, isToken 매개변수: token은 grantToken, formName, action 이름으로 생성된 결과로 fromCheck가 출처를 확인하는지 여부를 나타내며 true인 경우 토큰의 session_id가 동일한지 여부도 확인해야 합니다. 현재 session_id.
c, dropToken, 작업이 성공적으로 실행되면 이 함수를 호출하고 토큰을 세션에 기록합니다.
/**
* 원칙: 토큰 할당 요청 시 고유한 토큰 할당 방법을 찾으세요, base64(time rand action)
* 제출한 경우 이 토큰을 기록하여 이전에 이 토큰이 사용되었음을 표시하고, 따라갈 수 있습니다. 중복 제출을 피하세요.
*
*/
클래스 GToken {
/**
* 현재 토큰 모두 가져오기
*
* @return 배열
*/
공용 정적 함수 getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];
if (비어 있음($tokens) && !is_array($tokens)) {
$tokens = array();
}
$토큰을 반환합니다.
}
/**
* 새 토큰 생성
*
* @param string $formName
* @param 암호화 키 $key
* @return string
*/
공개 정적 함수 granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName." :".session_id(),$key);
$token을 반환합니다.
}
/**
* 토큰을 삭제하면 실제로 세션의 배열에 요소가 추가됩니다. 이는 데이터의 반복 제출을 피하기 위해 이전에 토큰이 사용되었음을 나타냅니다.
*
* @param string $token
*/
공용 정적 함수 dropToken($token){
$tokens = self::getTokens();
$tokens[] = $token;
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);
}
/**
* 지정된 Token인지 확인하고 true인 경우 토큰에 첨부된 session_id가 현재 session_id와 동일한지 판단합니다.
* @param string $key 암호화 키
* @ 부울 반환
*/
공개 정적 함수 isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self ::getTokens();
if (in_array($token,$tokens)) //如果存재, 说明是以使用过的token
false를 반환합니다.
$source = split(":", GEncrypt::decrypt($token,$key));
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName;
그밖에
반환 $source[0] == $formName;
}
}
?>
예:
먼저 $_POST에서 토큰을 꺼내고 isToken을 사용하여 판단합니다. 이 파일을 다운로드하는 것은 문제가 없을 것 같습니다.
일치하는 작업인지 판단하려면 isToken에서 formName을 변경하고 실행할 수 있습니다. 일치하는 항목이 없습니다.
반복적인 제출을 피할 수 있는지 여부는 아직 확인되지 않았습니다.
나머지는 원본을 판단하고 확인하는 것입니다.
위 예제에서 생성된 html을 로컬 웹페이지에 복사하여(다른 도메인의 목적을 달성하기 위해) 실행하여 소스를 알 수 없는지 확인합니다. (isToken 매개변수의 세 번째 부분을 true로 변경해야 합니다.)
isToken의 세 번째 매개변수를 false로 설정하고 제출하면 지정된 작업이 실행됩니다.
좋습니다! , 아직 어딘가에 BUG가 있는지는 모르겠어서 장기간 사용하면서 천천히 디버깅하고 수정해보겠습니다!
위 내용은 www.stocke.com.cn의 내용을 포함하여 www.stocke.com.cn의 PHP Token 디자인을 소개한 것입니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.

PHP는 동적 웹 사이트를 구축하는 데 사용되며 해당 핵심 기능에는 다음이 포함됩니다. 1. 데이터베이스와 연결하여 동적 컨텐츠를 생성하고 웹 페이지를 실시간으로 생성합니다. 2. 사용자 상호 작용 및 양식 제출을 처리하고 입력을 확인하고 작업에 응답합니다. 3. 개인화 된 경험을 제공하기 위해 세션 및 사용자 인증을 관리합니다. 4. 성능을 최적화하고 모범 사례를 따라 웹 사이트 효율성 및 보안을 개선하십시오.

PHP는 MySQLI 및 PDO 확장 기능을 사용하여 데이터베이스 작업 및 서버 측 로직 프로세싱에서 상호 작용하고 세션 관리와 같은 기능을 통해 서버 측로 로직을 처리합니다. 1) MySQLI 또는 PDO를 사용하여 데이터베이스에 연결하고 SQL 쿼리를 실행하십시오. 2) 세션 관리 및 기타 기능을 통해 HTTP 요청 및 사용자 상태를 처리합니다. 3) 트랜잭션을 사용하여 데이터베이스 작업의 원자력을 보장하십시오. 4) SQL 주입 방지, 디버깅을 위해 예외 처리 및 폐쇄 연결을 사용하십시오. 5) 인덱싱 및 캐시를 통해 성능을 최적화하고, 읽을 수있는 코드를 작성하고, 오류 처리를 수행하십시오.

PHP에서 전처리 문과 PDO를 사용하면 SQL 주입 공격을 효과적으로 방지 할 수 있습니다. 1) PDO를 사용하여 데이터베이스에 연결하고 오류 모드를 설정하십시오. 2) 준비 방법을 통해 전처리 명세서를 작성하고 자리 표시자를 사용하여 데이터를 전달하고 방법을 실행하십시오. 3) 쿼리 결과를 처리하고 코드의 보안 및 성능을 보장합니다.

PHP와 Python은 고유 한 장점과 단점이 있으며 선택은 프로젝트 요구와 개인 선호도에 달려 있습니다. 1.PHP는 대규모 웹 애플리케이션의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 데이터 과학 및 기계 학습 분야를 지배합니다.

PHP는 전자 상거래, 컨텐츠 관리 시스템 및 API 개발에 널리 사용됩니다. 1) 전자 상거래 : 쇼핑 카트 기능 및 지불 처리에 사용됩니다. 2) 컨텐츠 관리 시스템 : 동적 컨텐츠 생성 및 사용자 관리에 사용됩니다. 3) API 개발 : 편안한 API 개발 및 API 보안에 사용됩니다. 성능 최적화 및 모범 사례를 통해 PHP 애플리케이션의 효율성과 유지 보수 성이 향상됩니다.

PHP를 사용하면 대화식 웹 컨텐츠를 쉽게 만들 수 있습니다. 1) HTML을 포함하여 컨텐츠를 동적으로 생성하고 사용자 입력 또는 데이터베이스 데이터를 기반으로 실시간으로 표시합니다. 2) 프로세스 양식 제출 및 동적 출력을 생성하여 htmlspecialchars를 사용하여 XSS를 방지합니다. 3) MySQL을 사용하여 사용자 등록 시스템을 작성하고 Password_Hash 및 전처리 명세서를 사용하여 보안을 향상시킵니다. 이러한 기술을 마스터하면 웹 개발의 효율성이 향상됩니다.

PHP와 Python은 각각 고유 한 장점이 있으며 프로젝트 요구 사항에 따라 선택합니다. 1.PHP는 웹 개발, 특히 웹 사이트의 빠른 개발 및 유지 보수에 적합합니다. 2. Python은 간결한 구문을 가진 데이터 과학, 기계 학습 및 인공 지능에 적합하며 초보자에게 적합합니다.

PHP는 여전히 역동적이며 현대 프로그래밍 분야에서 여전히 중요한 위치를 차지하고 있습니다. 1) PHP의 단순성과 강력한 커뮤니티 지원으로 인해 웹 개발에 널리 사용됩니다. 2) 유연성과 안정성은 웹 양식, 데이터베이스 작업 및 파일 처리를 처리하는 데 탁월합니다. 3) PHP는 지속적으로 발전하고 최적화하며 초보자 및 숙련 된 개발자에게 적합합니다.


핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전

Eclipse용 SAP NetWeaver 서버 어댑터
Eclipse를 SAP NetWeaver 애플리케이션 서버와 통합합니다.

VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기

Dreamweaver Mac版
시각적 웹 개발 도구

Atom Editor Mac 버전 다운로드
가장 인기 있는 오픈 소스 편집기
