Analisis keselamatan penyerahan anti-goncang dan anti-pendua dalam PHP

Analisis keselamatan penyerahan anti-goncang dan anti-pendua dalam PHP

Pengenalan:
Dengan pembangunan laman web dan aplikasi Dengan pembangunan, borang Web telah menjadi salah satu cara penting untuk berinteraksi dengan pengguna. Selepas pengguna mengisi borang dan mengklik butang hantar, pelayan akan menerima dan memproses data yang dihantar. Walau bagaimanapun, disebabkan kelewatan rangkaian atau salah operasi pengguna, borang tersebut boleh diserahkan beberapa kali. Penyerahan berulang bukan sahaja akan meningkatkan beban pada pelayan, tetapi juga boleh menyebabkan pelbagai isu keselamatan, seperti sisipan data berulang, operasi tanpa kebenaran, dsb. Untuk menyelesaikan masalah ini, kami boleh menggunakan teknologi penyerahan anti goncang dan anti pendua.

1. Prinsip dan pelaksanaan anti-goncang
Anti-goncang adalah teknologi yang mengendalikan peristiwa pencetus manual Prinsipnya adalah untuk menetapkan masa tunda selepas peristiwa pencetus sahaja masa tunda Operasi yang sepadan akan dilakukan hanya jika peristiwa tidak dicetuskan lagi dalam tempoh ini. Jika peristiwa dicetuskan semula dalam masa tunda, pemasa akan dimulakan semula dan operasi tidak akan dilakukan sehingga acara tidak dicetuskan lagi dalam masa tunda.

Dalam PHP, kami boleh melaksanakan fungsi anti goncang melalui JavaScript dan AJAX. Pertama, di halaman hadapan, kami menggunakan JavaScript untuk mendengar acara penyerahan borang dan menghalang kelakuan penyerahan lalai borang. Kemudian, gunakan teknologi AJAX untuk menghantar data borang ke program PHP latar belakang untuk diproses. Dalam program PHP, kita boleh melaksanakan fungsi anti goncang dengan menetapkan masa tunda Operasi yang sepadan hanya akan dilakukan jika permintaan yang sama tidak diterima lagi dalam masa tunda.

Berikut ialah kod sampel khusus:

<script>
    var timer; // 定时器

    document.getElementById("submitBtn").addEventListener("click", function(event) {
        event.preventDefault(); // 阻止表单的默认提交行为
        
        clearTimeout(timer); // 清除之前的定时器
        
        timer = setTimeout(function() {
            // 发送 AJAX 请求
            var xhr = new XMLHttpRequest();
            xhr.open("POST", "handle_form.php", true);
            xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
            xhr.onreadystatechange = function() {
                if (xhr.readyState == 4 && xhr.status == 200) {
                    console.log(xhr.responseText);
                }
            };
            xhr.send(new FormData(document.getElementById("form")));
        }, 500); // 延迟时间设置为 500 毫秒
    });
</script>

Dalam contoh ini, kami menggunakan fungsi setTimeout untuk menetapkan masa tunda 500 milisaat. pemasa. Setiap kali butang hantar diklik, jika butang hantar diklik sekali lagi dalam masa 500 milisaat, pemasa sebelumnya akan dikosongkan dan kemudian ditetapkan semula dengan kelewatan 500 milisaat. Permintaan AJAX hanya akan dilaksanakan jika butang hantar tidak diklik sekali lagi dalam masa kelewatan. setTimeout 函数设置了一个延迟时间为 500 毫秒的定时器。每次点击提交按钮时，如果在 500 毫秒内再次点击提交按钮，就会先清除之前的定时器然后重新设置一个延迟时间为 500 毫秒的定时器。只有在延迟时间内没有再次点击提交按钮，才会执行 AJAX 请求。

二、防重复提交的原理与实现
防重复提交是一种确保每次提交请求只执行一次的技术，它的原理是在第一次提交请求后，记录一个标记（如一个 Token 或一个时间戳），并将这个标记存储在用户的会话中。当用户再次提交请求时，首先检查会话中是否存在这个标记，如果存在则表示请求已经提交过了，直接拒绝第二次提交；如果不存在，则表示是首次提交，执行相应的操作并记录这个标记到会话中。

在 PHP 中，我们可以通过会话存储和表单字段的校验来实现防重复提交功能。首先，在表单中添加一个唯一标识符（可以是一个隐藏字段或一个 Token），每次提交请求时将这个唯一标识符一同提交到后台。在 PHP 程序中，首先检查会话中是否存在这个唯一标识符，如果存在则表示请求已经提交过了，直接拒绝第二次提交；如果不存在，则表示是首次提交，执行相应的操作并将这个唯一标识符记录到会话中。

以下是一个具体的示例代码：

<?php
session_start();

// 校验表单字段
if ($_POST["token"] != $_SESSION["token"]) {
    die("重复提交请求！");
}

// 处理表单提交
// ...

// 记录唯一标识符到会话中
$_SESSION["token"] = uniqid();
?>

在这个示例中，我们首先通过 session_start() 函数开启会话，并校验表单字段 $_POST["token"] 是否与会话中的标识符 $_SESSION["token"] 相等。如果不相等，则表示是重复提交请求，直接结束程序并输出错误提示；如果相等，则表示是首次提交请求，执行相应的操作并将唯一标识符 uniqid()

2. Prinsip dan pelaksanaan penyerahan anti-pendua

Penyerahan anti-pendua ialah teknologi yang memastikan setiap permintaan penyerahan hanya dilaksanakan sekali sahaja permintaan, Rakam token (seperti Token atau cap waktu) dan simpan token dalam sesi pengguna. Apabila pengguna menyerahkan permintaan sekali lagi, mula-mula semak sama ada tanda ini wujud dalam sesi Jika ia wujud, ini bermakna permintaan telah diserahkan, dan penyerahan kedua ditolak secara langsung, ia bermakna ianya penyerahan pertama, lakukan operasi yang sepadan dan rekodkan Tanda ini ke dalam perbualan.

Dalam PHP, kami boleh melaksanakan fungsi penyerahan anti-pendua melalui penyimpanan sesi dan pengesahan medan borang. Mula-mula, tambahkan pengecam unik (boleh menjadi medan tersembunyi atau Token) pada borang dan serahkan pengecam unik ini ke latar belakang setiap kali permintaan diserahkan. Dalam program PHP, mula-mula semak sama ada pengecam unik ini wujud dalam sesi Jika ia wujud, ini bermakna permintaan telah diserahkan, dan penyerahan kedua ditolak secara langsung jika ia tidak wujud, ini bermakna ia adalah yang pertama penyerahan, dan operasi yang sepadan dilakukan dan permintaan diserahkan Pengecam unik dilog masuk ke dalam sesi. #🎜🎜##🎜🎜#Berikut ialah kod sampel khusus: #🎜🎜#rrreee#🎜🎜#Dalam contoh ini, kami mula-mula membuka sesi melalui fungsi session_start() dan sahkan Sama ada medan borang $_POST["token"] adalah sama dengan pengecam $_SESSION["token"] dalam sesi. Jika mereka tidak sama, ia bermakna bahawa permintaan itu dihantar berulang kali, dan program berakhir secara langsung dan mesej ralat adalah output jika mereka sama, ia bermakna bahawa permintaan itu dikemukakan untuk kali pertama, operasi yang sepadan dilakukan dan pengecam unik uniqid() direkodkan ke dalam sesi. #🎜🎜##🎜🎜#Kesimpulan: #🎜🎜# Penyerahan anti goncang dan anti berulang memberikan jaminan tertentu untuk keselamatan borang web. Melalui cara teknikal anti-goncang dan anti-penyerahan berulang, kami boleh mengelakkan masalah penyerahan borang berulang yang disebabkan oleh salah operasi pengguna atau kelewatan rangkaian. Walau bagaimanapun, penyerahan anti-goncang dan anti-pendua hanya boleh menyelesaikan beberapa masalah keselamatan dan tidak dapat menjamin keselamatan data sepenuhnya. Oleh itu, dalam pembangunan sebenar, langkah keselamatan lain perlu digabungkan untuk meningkatkan keselamatan borang Web, seperti pengesahan data, kawalan kebenaran, dsb. #🎜🎜#

Atas ialah kandungan terperinci Analisis keselamatan penyerahan anti-goncang dan anti-pendua dalam PHP. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!