我們提交表單的時候���,不能忽視的一個限制是防止用戶重復提交表單���,因為有可能用戶連續(xù)點擊了提交按鈕或者是攻擊者惡意提交數(shù)據(jù),那么我們在提交數(shù)據(jù)后的處理如修改或添加數(shù)據(jù)到數(shù)據(jù)庫時就會惹上麻煩�。
那么如何規(guī)避這中重復提交表單的現(xiàn)象出現(xiàn)呢����?我們可以從很多方面入手:
首先從前端做限制�����。前端JavaScript在按鈕被點擊一次后禁用�,即disabled,這個方法簡單的防止了多次點擊提交按鈕�����,但是缺點是如果用戶禁用了javascript腳本則失效��。
第二����,我們可以在提交后做redirect頁面重定向,即提交后跳轉到新的頁面��,主要避免F5重復提交�����,但是也有不足之處����。
第三�����,就是數(shù)據(jù)庫做唯一索引約束�。
第四����,就是做session令牌驗證。
我們現(xiàn)在來了解下簡單的利用session token來防止表單重復提交的方法�。
我們在表單中加一個input隱藏域,即type="hidden"��,其value值用來保存token值�����,當頁面刷新的時候這個token值會變化�����,提交后判斷token值是否正確��,如果前臺提交的token與后臺不匹配����,則認為是重復提交。
代碼如下
?php
/* * PHP簡單利用token防止表單重復提交 */
session_start();
header("Content-Type: text/html;charset=utf-8");
function set_token() {
$_SESSION['token'] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST['token'] === $_SESSION['token'] ? true: false;
set_token();
return $return;
}
//如果token為空則生成一個token
if(!isset($_SESSION['token']) || $_SESSION['token']=='') {
set_token();
}
if(isset($_POST['web'])){
if(!valid_token()){
echo "token error�,請不要重復提交!";
}else{
echo '成功提交���,Value:'.$_POST['web'];
}
}else{
?>
form method="post" action="">
input type="hidden" name="token" value="?php echo $_SESSION['token']?>">
input type="text" class="input" name="web" value="www.jb51.net">
input type="submit" class="btn" value="提交" />
/form>
?php
}
?>
以上是一個簡單的防止重復提交表單的例子����。
那么實際項目開發(fā)中�����,會對表單token做更復雜的處理��,即我們說的令牌驗證���?����?赡芤龅奶幚?有:驗證來源域�����,即來路��,是否為外部提交���;匹配要執(zhí)行的動作��,是添加�、修改or刪除����;其次最重要的是構建token,token可以采用可逆的加密算法�, 盡可能復雜,因為明文還是不安全的���。
以上就是本文的全部內(nèi)容����,希望對大家的學習有所幫助����,也希望大家多多支持腳本之家。
您可能感興趣的文章:- PHP實現(xiàn)笛卡爾積算法的實例講解
- PHP笛卡爾積實現(xiàn)算法示例
- PHP實現(xiàn)數(shù)組的笛卡爾積運算示例
- PHP基于自定義函數(shù)生成笛卡爾積的方法示例
- php計算多個集合的笛卡爾積實例詳解
- PHP基于進程控制函數(shù)實現(xiàn)多線程
- Nginx+php配置文件及原理解析
- thinkphp諸多限制條件下如何getshell詳解
- PHP笛卡爾積實現(xiàn)原理及代碼實例
