목표 달성 방법:
반복 제출을 방지하는 방법
SESSION에 배열을 저장합니다. 이 배열은 백그라운드 처리 중에 토큰이 이 배열에 있는지 확인합니다. , 존재하는 경우 반복 제출이라는 의미입니다.
원본을 확인하는 방법은 무엇입니까?
선택 사항으로, 이 토큰이 생성되면 다른 사람이 귀하의 HTML(토큰 복사본)을 복사하면 추가됩니다. , 제출 시 이론적으로 토큰에 포함된 session_id가 현재 session_id와 같지 않으면 제출이 외부 제출이라고 판단할 수 있습니다.
실행할 작업을 어떻게 일치시킬 수 있나요?
토큰화할 때? , 토큰의 액션 이름은 이 토큰에 작성해야 처리 중에 액션을 해결하고 비교할 수 있습니다.
전에 작성한 GToken은 위에서 언급한 두 번째 사항을 달성하지 못했습니다. 그리고 기능 추가 2. 개인적으로 괜찮은 것 같아요.
코드를 살펴보시고 뭔가 불합리하다고 느끼시면 조언 부탁드립니다.
감사합니다.
GEncrypt.inc.php:
코드 복사 코드는 다음과 같습니다.
코드 복사 코드는 다음과 같습니다.
class GEncrypt는 GSuperclass를 확장합니다 {
protected static function keyED($txt,$encrypt_key){
$encrypt_key = md5($encrypt_key)
$ctr=0; > $tmp = "";
for ($i=0;$i
$encrypt_key = md5(((float) date("YmdHis") rand(1000000000000000,9999999) 9999999999)).rand( 100000,999999));
$ctr=0;
$tmp = ""; if ($ctr==strlen($encrypt_key)) $ctr=0; ,$ctr, 1));
$ctr ;
} }
return base64_encode(self::keyED($tmp,$key))
공개 정적 함수 decrypt($ txt,$key) 🎜> $txt = self::keyED( base64_decode($txt),$key)
$tmp = ""
for ($i=0;$i
$i ;
$tmp.= (substr($txt,$i,1) ^ $md5);
GToken.inc.php
메서드:
a, granteToken 매개변수: formName(작업 이름), key는 암호화/해독 키입니다.
암호화(formName) 형식의 문자열을 반환합니다. : session_id)
b, isToken 매개변수: token은 grantToken, formName, action 이름으로 생성된 결과로 fromCheck가 출처를 확인하는지 여부를 나타내며 true인 경우 토큰의 session_id가 동일한지 여부도 확인해야 합니다. 현재 session_id.
c, dropToken, 작업이 성공적으로 실행되면 이 함수를 호출하고 토큰을 세션에 기록합니다.
/**
* 원칙: 토큰 할당 요청 시 고유한 토큰 할당 방법을 찾으세요, base64(time rand action)
* 제출한 경우 이 토큰을 기록하여 이전에 이 토큰이 사용되었음을 표시하고, 따라갈 수 있습니다. 중복 제출을 피하세요.
*
*/
클래스 GToken {
/**
* 현재 토큰 모두 가져오기
*
* @return 배열
*/
공용 정적 함수 getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];
if (비어 있음($tokens) && !is_array($tokens)) {
$tokens = array();
}
$토큰을 반환합니다.
}
/**
* 새 토큰 생성
*
* @param string $formName
* @param 암호화 키 $key
* @return string
*/
공개 정적 함수 granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName." :".session_id(),$key);
$token을 반환합니다.
}
/**
* 토큰을 삭제하면 실제로 세션의 배열에 요소가 추가됩니다. 이는 데이터의 반복 제출을 피하기 위해 이전에 토큰이 사용되었음을 나타냅니다.
*
* @param string $token
*/
공용 정적 함수 dropToken($token){
$tokens = self::getTokens();
$tokens[] = $token;
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);
}
/**
* 지정된 Token인지 확인하고 true인 경우 토큰에 첨부된 session_id가 현재 session_id와 동일한지 판단합니다.
* @param string $key 암호화 키
* @ 부울 반환
*/
공개 정적 함수 isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self ::getTokens();
if (in_array($token,$tokens)) //如果存재, 说明是以使用过的token
false를 반환합니다.
$source = split(":", GEncrypt::decrypt($token,$key));
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName;
그밖에
반환 $source[0] == $formName;
}
}
?>
예:
먼저 $_POST에서 토큰을 꺼내고 isToken을 사용하여 판단합니다. 
이 파일을 다운로드하는 것은 문제가 없을 것 같습니다.
일치하는 작업인지 판단하려면 isToken에서 formName을 변경하고 실행할 수 있습니다. 일치하는 항목이 없습니다.
반복적인 제출을 피할 수 있는지 여부는 아직 확인되지 않았습니다.
나머지는 원본을 판단하고 확인하는 것입니다.
위 예제에서 생성된 html을 로컬 웹페이지에 복사하여(다른 도메인의 목적을 달성하기 위해) 실행하여 소스를 알 수 없는지 확인합니다. (isToken 매개변수의 세 번째 부분을 true로 변경해야 합니다.)
isToken의 세 번째 매개변수를 false로 설정하고 제출하면 지정된 작업이 실행됩니다.
좋습니다! , 아직 어딘가에 BUG가 있는지는 모르겠어서 장기간 사용하면서 천천히 디버깅하고 수정해보겠습니다!
위 내용은 www.stocke.com.cn의 내용을 포함하여 www.stocke.com.cn의 PHP Token 디자인을 소개한 것입니다. PHP 튜토리얼에 관심이 있는 친구들에게 도움이 되기를 바랍니다.
11 최고의 PHP URL 쇼트너 스크립트 (무료 및 프리미엄)Mar 03, 2025 am 10:49 AM종종 키워드와 추적 매개 변수로 혼란스러워하는 긴 URL은 방문자를 방해 할 수 있습니다. URL 단축 스크립트는 솔루션을 제공하여 소셜 미디어 및 기타 플랫폼에 이상적인 간결한 링크를 만듭니다. 이 스크립트는 개별 웹 사이트 a에 유용합니다
Instagram API 소개Mar 02, 2025 am 09:32 AMInstagram은 2012 년 Facebook에서 유명한 인수에 이어 타사 사용을 위해 두 개의 API 세트를 채택했습니다. Instagram Graph API 및 Instagram Basic Display API입니다. 개발자는
Laravel의 플래시 세션 데이터로 작업합니다Mar 12, 2025 pm 05:08 PMLaravel은 직관적 인 플래시 방법을 사용하여 임시 세션 데이터 처리를 단순화합니다. 응용 프로그램에 간단한 메시지, 경고 또는 알림을 표시하는 데 적합합니다. 데이터는 기본적으로 후속 요청에만 지속됩니다. $ 요청-
Laravel Back End : Part 2, React가있는 React 앱 구축Mar 04, 2025 am 09:33 AM이것은 Laravel 백엔드가있는 React Application을 구축하는 데있어 시리즈의 두 번째이자 마지막 부분입니다. 이 시리즈의 첫 번째 부분에서는 기본 제품 목록 응용 프로그램을 위해 Laravel을 사용하여 편안한 API를 만들었습니다. 이 튜토리얼에서는 Dev가 될 것입니다
Laravel 테스트에서 단순화 된 HTTP 응답 조롱Mar 12, 2025 pm 05:09 PMLaravel은 간결한 HTTP 응답 시뮬레이션 구문을 제공하여 HTTP 상호 작용 테스트를 단순화합니다. 이 접근법은 테스트 시뮬레이션을보다 직관적으로 만들면서 코드 중복성을 크게 줄입니다. 기본 구현은 다양한 응답 유형 단축키를 제공합니다. Illuminate \ support \ Facades \ http를 사용하십시오. http :: 가짜 ([ 'google.com'=> 'Hello World', 'github.com'=> [ 'foo'=> 'bar'], 'forge.laravel.com'=>
PHP의 컬 : REST API에서 PHP Curl Extension 사용 방법Mar 14, 2025 am 11:42 AMPHP 클라이언트 URL (CURL) 확장자는 개발자를위한 강력한 도구이며 원격 서버 및 REST API와의 원활한 상호 작용을 가능하게합니다. PHP CURL은 존경받는 다중 프로모토콜 파일 전송 라이브러리 인 Libcurl을 활용하여 효율적인 execu를 용이하게합니다.
Codecanyon에서 12 개의 최고의 PHP 채팅 스크립트Mar 13, 2025 pm 12:08 PM고객의 가장 긴급한 문제에 실시간 인스턴트 솔루션을 제공하고 싶습니까? 라이브 채팅을 통해 고객과 실시간 대화를 나누고 문제를 즉시 해결할 수 있습니다. 그것은 당신이 당신의 관습에 더 빠른 서비스를 제공 할 수 있도록합니다.
2025 PHP 상황 조사 발표Mar 03, 2025 pm 04:20 PM2025 PHP Landscape Survey는 현재 PHP 개발 동향을 조사합니다. 개발자와 비즈니스에 대한 통찰력을 제공하는 프레임 워크 사용, 배포 방법 및 과제를 탐색합니다. 이 조사는 현대 PHP Versio의 성장을 예상합니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
드림위버 CS6
시각적 웹 개발 도구
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
mPDF
mPDF는 UTF-8로 인코딩된 HTML에서 PDF 파일을 생성할 수 있는 PHP 라이브러리입니다. 원저자인 Ian Back은 자신의 웹 사이트에서 "즉시" PDF 파일을 출력하고 다양한 언어를 처리하기 위해 mPDF를 작성했습니다. HTML2FPDF와 같은 원본 스크립트보다 유니코드 글꼴을 사용할 때 속도가 느리고 더 큰 파일을 생성하지만 CSS 스타일 등을 지원하고 많은 개선 사항이 있습니다. RTL(아랍어, 히브리어), CJK(중국어, 일본어, 한국어)를 포함한 거의 모든 언어를 지원합니다. 중첩된 블록 수준 요소(예: P, DIV)를 지원합니다.
