Android php插入记录在多次提交中防止DOS攻击和csrf攻击

Question

1. 我是 android 开发新手。我开发了一个 android 应用程序，可以使用 php 作为服务器端编程，通过该应用程序将一些记录插入到 mysql 数据库中。
2. 无需执行任何登录操作即可通过应用插入记录。
3. 所以现在的问题是，如果用户在几分之一秒内多次（比如 x 次）单击 sumbit 按钮，那么相同的记录将多次插入数据库中（x 次）..显然不同的主每行的键 ID。
4. 所以我需要通过在 oncreate() 中生成一个唯一令牌并将令牌与正文发布请求一起传递并使用 php 在服务器端对其进行验证来防止它发生。
5. 对于通过应用程序到服务器的每个发布请求，令牌必须是唯一的，并且在用于特定请求后必须销毁。
6. 那么如何去做呢？请帮助..如果有人可以提供，我需要一个参考代码..

Answer 1

一种轻量级的方法是生成一个可以使用 HMAC 进行自我验证的令牌。在服务器上，您将使用generate_token($secret) 生成一个令牌并将其发送给客户端。客户端必须在其响应中包含令牌。使用valid_token($secret, $token) 验证服务器上的令牌。

为防止重复使用代币，您必须存储已用过的代币。例如，您可以在继续请求之前将使用过的令牌存储在具有唯一约束的数据库记录中。如果在约束上插入失败，您就知道令牌被重复使用了。

令牌生成和验证示例：

function generate_token($secret) {
  return build_token($secret, bin2hex(random_bytes(5)));
}

function build_token($secret, $id) {
  return $id . '-' . hash_hmac('ripemd160', $id, $secret);
}

function valid_token($secret, $token) {
  $parts = explode('-', $token);
  return $token === build_token($secret, $parts[0]);
}

还有其他方法。您可以生成随机 ID 并存储它们。然后在使用后将它们从商店中删除。那你就不需要秘密了。我更喜欢存储使用过的令牌，因为它在最后一步之前是无状态的。

编辑：请注意，为了防止 CSRF，令牌必须包含用户特定的 ID。在 PHP 中，session_id() 通常可以用于此目的。一种非常简单的方法是将session_id() 连接到$secret，如generate_token($secret . session_id()) 和valid_token($secret . session_id(), $token)。我希望你能明白。