我們提交表單的時候,不能忽視的一個限制是防止用戶重復(fù)提交表單����,因為有可能用戶連續(xù)點擊了提交按鈕或者是攻擊者惡意提交數(shù)據(jù),那么我們在提交數(shù)據(jù)后的處理如修改或添加數(shù)據(jù)到數(shù)據(jù)庫時就會惹上麻煩����。
那么如何規(guī)避這中重復(fù)提交表單的現(xiàn)象出現(xiàn)呢?我們可以從很多方面入手:
首先從前端做限制�����。前端JavaScript在按鈕被點擊一次后禁用����,即disabled,這個方法簡單的防止了多次點擊提交按鈕����,但是缺點是如果用戶禁用了javascript腳本則失效。
第二,我們可以在提交后做redirect頁面重定向���,即提交后跳轉(zhuǎn)到新的頁面���,主要避免F5重復(fù)提交,但是也有不足之處�。
第三,就是數(shù)據(jù)庫做唯一索引約束��。
第四��,就是做session令牌驗證��。
我們現(xiàn)在來了解下簡單的利用session token來防止表單重復(fù)提交的方法�。
我們在表單中加一個input隱藏域����,即type="hidden",其value值用來保存token值����,當(dāng)頁面刷新的時候這個token值會變化,提交后判斷token值是否正確�����,如果前臺提交的token與后臺不匹配,則認(rèn)為是重復(fù)提交����。
代碼如下
?php
/* * PHP簡單利用token防止表單重復(fù)提交 */
session_start();
header("Content-Type: text/html;charset=utf-8");
function set_token() {
$_SESSION['token'] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST['token'] === $_SESSION['token'] ? true: false;
set_token();
return $return;
}
//如果token為空則生成一個token
if(!isset($_SESSION['token']) || $_SESSION['token']=='') {
set_token();
}
if(isset($_POST['web'])){
if(!valid_token()){
echo "token error,請不要重復(fù)提交����!";
}else{
echo '成功提交,Value:'.$_POST['web'];
}
}else{
?>
form method="post" action="">
input type="hidden" name="token" value="?php echo $_SESSION['token']?>">
input type="text" class="input" name="web" value="www.jb51.net">
input type="submit" class="btn" value="提交" />
/form>
?php
}
?>
以上是一個簡單的防止重復(fù)提交表單的例子����。
那么實際項目開發(fā)中,會對表單token做更復(fù)雜的處理��,即我們說的令牌驗證����。可能要做的處理 有:驗證來源域�,即來路,是否為外部提交�;匹配要執(zhí)行的動作,是添加�����、修改or刪除;其次最重要的是構(gòu)建token�,token可以采用可逆的加密算法, 盡可能復(fù)雜��,因為明文還是不安全的�����。
以上就是本文的全部內(nèi)容�,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家�。
您可能感興趣的文章:- PHP實現(xiàn)笛卡爾積算法的實例講解
- PHP笛卡爾積實現(xiàn)算法示例
- PHP實現(xiàn)數(shù)組的笛卡爾積運算示例
- PHP基于自定義函數(shù)生成笛卡爾積的方法示例
- php計算多個集合的笛卡爾積實例詳解
- PHP基于進(jìn)程控制函數(shù)實現(xiàn)多線程
- Nginx+php配置文件及原理解析
- thinkphp諸多限制條件下如何getshell詳解
- PHP笛卡爾積實現(xiàn)原理及代碼實例
