我們提交表單的時候,不能忽視的一個限制是防止使用者重複提交表單,因為有可能使用者連續點選了提交按鈕或者是攻擊者惡意提交資料,那麼我們在提交資料後的處理如修改或新增資料到資料庫時就會惹上麻煩。
那麼如何規避這中重複提交表單的現象出現呢?我們可以從很多方面入手:
首先從前端做限制。前端JavaScript在按鈕被點選一次後禁用,即disabled,這個方法簡單的防止了多次點選提交按鈕,但是缺點是如果使用者禁用了javascript指令碼則失效。
第二,我們可以在提交後做redirect頁面重定向,即提交後跳轉到新的頁面,主要避免F5重複提交,但是也有不足之處。
第三,就是資料庫做唯一索引約束。
第四,就是做session令牌驗證。
我們現在來了解下簡單的利用session token來防止表單重複提交的方法。
我們在表單中加一個input隱藏域,即type=”hidden”,其value值用來儲存token值,當頁面重新整理的時候這個token值會變化,提交後判斷token值是否正確,如果前臺提交的token與後臺不匹配,則認為是重複提交。
< ?php
/ PHP簡單利用token防止表單重複提交 */
session_start();
header(“Content-Type: text/html;charset=utf-8”);
function set_token() {
$_SESSION[`token`] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST[`token`] === $_SESSION[`token`] ? true: false;
set_token();
return $return;
}
//如果token為空則生成一個token
if(!isset($_SESSION[`token`]) || $_SESSION[`token`]==“) {
set_token();
}
if(isset($_POST[`web`])){
if(!valid_token()){
echo “token error,請不要重複提交!”;
}else{
echo `成功提交,Value:`.$_POST[`web`];
}
}else{
?>
}
?>
以上是一個簡單的防止重複提交表單的例子。
那麼實際專案開發中,會對錶單token做更復雜的處理,即我們說的令牌驗證。可能要做的處理 有:驗證來源域,即來路,是否為外部提交;匹配要執行的動作,是新增、修改or刪除;其次最重要的是構建token,token可以採用可逆的加密演算法, 儘可能複雜,因為明文還是不安全的。