我們提交表單的時候,不能忽視的一個限制是防止用戶重復提交表單,因為有可能用戶連續點擊了提交按鈕或者是攻擊者惡意提交數據,那么我們在提交數據后的處理如修改或添加數據到數據庫時就會惹上麻煩。
效果圖:
那么如何規避這中重復提交表單的現象出現呢?我們可以從很多方面入手:
首先從前端做限制。前端JavaScript在按鈕被點擊一次后禁用,即disabled,這個方法簡單的防止了多次點擊提交按鈕,但是缺點是如果用戶禁用了javascript腳本則失效。
第二,我們可以在提交后做redirect頁面重定向,即提交后跳轉到新的頁面,主要避免F5重復提交,但是也有不足之處。
第三,就是數據庫做唯一索引約束。
第四,就是做session令牌驗證。
我們現在來了解下簡單的利用session token來防止表單重復提交的方法。
我們在表單中加一個input隱藏域,即type="hidden",其value值用來保存token值,當頁面刷新的時候這個token值會變化,提交后判斷token值是否正確,如果前台提交的token與后台不匹配,則認為是重復提交。
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
|
<?php
/*
* PHP簡單利用token防止表單重復提交
*/
session_start();
header(
"Content-Type: text/html;charset=utf-8"
);
function
set_token() {
$_SESSION
[
'token'
] = md5(microtime(true));
}
function
valid_token() {
$return
=
$_REQUEST
[
'token'
] ===
$_SESSION
[
'token'
] ? true : false;
set_token();
return
$return
;
}
//如果token為空則生成一個token
if
(!isset(
$_SESSION
[
'token'
]) ||
$_SESSION
[
'token'
]==
''
) {
set_token();
}
if
(isset(
$_POST
[
'web'
])){
if
(!valid_token()){
echo
"token error,請不要重復提交!"
;
}
else
{
echo
'成功提交,Value:'
.
$_POST
[
'web'
];
}
}
else
{
?>
<form method=
"post"
action=
""
>
<input type=
"hidden"
name=
"token"
value=
"<?php echo $_SESSION['token']?>"
>
<input type=
"text"
class
=
"input"
name=
"web"
value=
"www.jb51.net"
>
<input type=
"submit"
class
=
"btn"
value=
"提交"
/>
</form>
<?php
}
?>
|
以上是一個簡單的防止重復提交表單的例子。
那么實際項目開發中,會對表單token做更復雜的處理,即我們說的令牌驗證。可能要做的處理有:驗證來源域,即來路,是否為外部提交;匹配要執行的動作,是添加、修改or刪除;其次最重要的是構建token,token可以采用可逆的加密算法,盡可能復雜,因為明文還是不安全的。