推薦:《PHP影片教學》
#我們提交表單的時候,不能忽略的一個限制是防止用戶重複提交表單,因為有可能用戶連續點擊了提交按鈕或者是攻擊者惡意提交數據,那麼我們在提交數據後的處理如修改或添加數據到數據庫時就會惹上麻煩。
那麼如何規避這中重複提交表單的現像出現呢?我們可以從很多方面入手:
首先從前端做限制。前端JavaScript在按鈕被點擊一次後禁用,即disabled,這個方法簡單的防止了多次點擊提交按鈕,但是缺點是如果用戶禁用了javascript腳本則失效。
第二,我們可以在提交後做redirect頁面重定向,也就是提交後跳到新的頁面,主要避免F5重複提交,但也有不足之處。
第三,就是資料庫做唯一索引約束。
第四,就是做session令牌驗證。
我們現在來了解下簡單的利用session token來防止表單重複提交的方法。
我們在表單中加一個input隱藏域,即type="hidden",其value值用來保存token值,當頁面刷新的時候這個token值會變化,提交後判斷token值是否正確,如果前台提交的token與後台不匹配,則認為是重複提交。
< ?php
/
PHP简单利用token防止表单重复提交 */
session_start();
header("Content-Type: text/html;charset=utf-8");
function set_token() {
$_SESSION['token'] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST['token'] === $_SESSION['token'] ? true: false;
set_token();
return $return;
}
//如果token为空则生成一个token
if(!isset($_SESSION['token']) || $_SESSION['token']=='') {
set_token();
}
if(isset($_POST['web'])){
if(!valid_token()){
echo "token error,请不要重复提交!";
}else{
echo '成功提交,Value:'.$_POST['web'];
}
}else{
?>
}
?>以上是一個簡單的防止重複提交表單的例子。
那麼實際專案開發中,就會對表單token做更複雜的處理,也就是我們所說的令牌驗證。可能要做的處理有:驗證來源域,即來路,是否為外部提交;匹配要執行的動作,是添加、修改or刪除;其次最重要的是構建token,token可以採用可逆的加密演算法, 盡可能複雜,因為明文還是不安全的。
