Das Beispiel in diesem Artikel beschreibt, wie man einem PHP-Formular ein Token hinzufügt, um wiederholte Übermittlungen zu verhindern. Teilen Sie es als Referenz mit allen. Die Details lauten wie folgt:
Eine kurze Diskussion über Token
Token ist ein Token, und seine größte Eigenschaft ist Zufälligkeit und Unvorhersehbarkeit. Normale Hacker oder Software können es nicht erraten.
Was ist also die Funktion von Token? Was ist das Prinzip?
Token wird im Allgemeinen an zwei Stellen verwendet – um wiederholte Formularübermittlungen und Anti-CSRF-Angriffe (Cross-Site Request Forgery) zu verhindern.
Beides wird grundsätzlich durch Session-Tokens umgesetzt. Wenn der Client eine Seite anfordert, generiert der Server ein Zufallszahlen-Token, platziert das Token in der Sitzung und sendet es dann an den Client (normalerweise durch Erstellen eines versteckten Formulars). Wenn der Client das nächste Mal eine Anfrage sendet, wird das Token zusammen mit dem Formular an den Server übermittelt.
Wenn es dann auf „Anti-CSRF-Angriff“ angewendet wird, überprüft der Server den Token-Wert, um festzustellen, ob er mit dem Token-Wert in der Sitzung übereinstimmt. Wenn er gleich ist, kann nachgewiesen werden, dass die Anforderung gültig ist und nicht gefälscht.
Wenn es jedoch verwendet wird, um „das wiederholte Senden von Formularen zu verhindern“, wird der Token-Wert in der Sitzung nach der ersten Überprüfung aktualisiert Das zweite Überprüfungsurteil lautet: Es ist fehlgeschlagen, da sich das Token in der vom Benutzer übermittelten Form nicht geändert hat, das Token in der serverseitigen Sitzung jedoch geändert wurde.
Die obige Sitzungsanwendung ist relativ sicher, aber auch umständlich. Gleichzeitig muss bei mehreren Seiten und mehreren Anforderungen die Methode zum gleichzeitigen Generieren mehrerer Token verwendet werden, was dauert Dadurch werden mehr Ressourcen beansprucht und die Ausführungseffizienz verringert. Daher kann anstelle des Sitzungstokens auch die Methode zum Speichern von Verifizierungsinformationen in Cookies verwendet werden. Wenn es sich beispielsweise um „wiederholte Übermittlungen“ handelt, werden die übermittelten Informationen nach der ersten Übermittlung in das Cookie geschrieben. Bei der zweiten Übermittlung schlägt die zweite Übermittlung fehl, da das Cookie bereits über einen Übermittlungsdatensatz verfügt.
Allerdings hat die Cookie-Speicherung eine fatale Schwachstelle (XSS-Angriffe können Benutzer-Cookies leicht erbeuten), dann kommt es zu einem weiteren Gameover. Hacker werden CSRF-Angriffe direkt implementieren.
Sicherheit und Effizienz sind also relativ. Lassen Sie uns auf konkrete Themen im Detail eingehen.
Token wird zum PHP-Formular hinzugefügt, um wiederholte Übermittlungen zu verhindern
Das Prinzip besteht darin, eine zufällige Zeichenfolge zu generieren und diese in die Sitzung einzufügen. Nach dem Absenden des Formulars wird diese Zeichenfolge überprüft Verhindern Sie, dass andere das Formular selbst schreiben, um die Übermittlung zu betrügen, wiederholen Sie die Übermittlung oder doppelklicken Sie zum Absenden.
Der in PHP implementierte einfache Code lautet wie folgt:
<?php
/*
* PHP简单利用token防止表单重复提交
* 此处理方法纯粹是为了给初学者参考
*/
session_start();
function set_token() {
$_SESSION['token'] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST['token'] === $_SESSION['token'] ? true : false;
set_token();
return $return;
}
//如果token为空则生成一个token
if(!isset($_SESSION['token']) || $_SESSION['token']=='') {
set_token();
}
if(isset($_POST['test'])){
if(!valid_token()){
echo "token error";
}else{
echo '成功提交,Value:'.$_POST['test'];
}
}
?>
<form method="post" action="">
<input type="hidden" name="token" value="<?php echo $_SESSION['token']?>">
<input type="text" name="test" value="Default">
<input type="submit" value="提交" />
</form>Nach dem Login kopieren
Die obige Methode ist einfacher und der folgende Code ist sicherer.
Token.php
<?php
/*
* Created on 2013-3-25
*
* To change the template for this generated file go to
* Window - Preferences - PHPeclipse - PHP - Code Templates
*/
function getToken($len = 32, $md5 = true) {
# Seed random number generator
# Only needed for PHP versions prior to 4.2
mt_srand((double) microtime() * 1000000);
# Array of characters, adjust as desired
$chars = array (
'Q',
'@',
'8',
'y',
'%',
'^',
'5',
'Z',
'(',
'G',
'_',
'O',
'`',
'S',
'-',
'N',
'<',
'D',
'{',
'}',
'[',
']',
'h',
';',
'W',
'.',
'/',
'|',
':',
'1',
'E',
'L',
'4',
'&',
'6',
'7',
'#',
'9',
'a',
'A',
'b',
'B',
'~',
'C',
'd',
'>',
'e',
'2',
'f',
'P',
'g',
')',
'?',
'H',
'i',
'X',
'U',
'J',
'k',
'r',
'l',
'3',
't',
'M',
'n',
'=',
'o',
'+',
'p',
'F',
'q',
'!',
'K',
'R',
's',
'c',
'm',
'T',
'v',
'j',
'u',
'V',
'w',
',',
'x',
'I',
'$',
'Y',
'z',
'*'
);
# Array indice friendly number of chars;
$numChars = count($chars) - 1;
$token = '';
# Create random token at the specified length
for ($i = 0; $i < $len; $i++)
$token .= $chars[mt_rand(0, $numChars)];
# Should token be run through md5?
if ($md5) {
# Number of 32 char chunks
$chunks = ceil(strlen($token) / 32);
$md5token = '';
# Run each chunk through md5
for ($i = 1; $i <= $chunks; $i++)
$md5token .= md5(substr($token, $i * 32 - 32, 32));
# Trim the token
$token = substr($md5token, 0, $len);
}
return $token;
}
?>Nach dem Login kopieren
form.php
<?php
include_once("token.php");
$token = getToken();
session_start();
$_SESSION['token'] = $token;
?>
<form action="action.php" method="post"
<input type="hidden" name="token" value="<?=$token?>" />
<!-- 其他input submit之类的 -->
</form>Nach dem Login kopieren
action.php
<?php
session_start();
if($_POST['token'] == $_SESSION['token']){
unset($_SESSION['token']);
echo "这是一个正常的提交请求";
}else{
echo "这是一个非法的提交请求";
}
?>Nach dem Login kopieren
Ich hoffe, dieser Artikel wird allen helfen Das Design ihrer PHP-Programme hilft.
Weitere Analysen zum Hinzufügen von Token zu PHP-Formularen, um wiederholte Übermittlungen zu verhindern, finden Sie auf der chinesischen PHP-Website für verwandte Artikel!
