我有一个POST 表单,它确实将数据发送到同一个文件,如果使用他浏览器中的后退按钮,他可以轻松地重新发送数据,它仍然会被读取.
有什么办法可以避免这种行为?
【问题讨论】:
有两种通用方法。
首先是post-redirect-get 模式,用户在signup.php 上填写表格,得到POSTed 到submit.php,成功完成后将REDIRECT 发送回thanks.php。浏览器看到重定向响应并为thanks.php 发出一个GET。这是有效的,因为如果没有重定向,点击刷新将重新加载 submit.php 导致重新发布表单数据警告和 POST 请求被双重发出。重定向解决了这个问题。
signup.php
-----------
...
<input type="text" name="email">
...
submit.php
----------
...
if ($_POST) {
// process data
header('Location: thanks.php');
}
...
thanks.php
----------
...
Thanks
...
第二种方法是在表单中嵌入一个nonce 键。这种方法还具有防止 CSRF 攻击的额外好处。这里的方法是在你的表单中注入一个隐藏的 guid:
<input type="nonce" value="<?= uniqid(); ?>">
服务器将需要跟踪所有 nonce 键问题(在数据库或其他东西中),当它收到表单时,它将处理表单并从数据库中删除 nonce 键。如果用户第二次重新提交表单,nonce 键将不存在,服务器可以通过忽略或发出警告来处理。
【讨论】:
Levi 发送的链接将为您解答。但如果你想要一个替代方案,我就是这样做的......
用户在课程中发帖,例如您的课程。同一个文件。在课程开始时,我会进行后期处理。对于这个例子,我将使它变得非常简单......
<?php
session_start();
//set form vars ahead of time so you can pre-populate the value attr on post
$form = array(
'name' => '',
'email' => ''
);
if(!empty($_POST))
{
//do some kind of validation...
$errors = array();
if(trim($_POST['name']) == '')
$errors[] = 'Please enter your name';
if(empty($errors))
{
$_SESSION['message'] = 'Thank you for participating';
header('location: /form.php'); // same file
exit;
}
else
{
// set the form vars to the post vars so you don't lose the user's input
$form['name'] = $_POST['name'];
$form['email'] = $_POST['email'];
$message = '<span style="color:red">';
foreach($errors AS $error)
{
$message .= $error."<br />";
}
$message .= '</span>';
$_SESSION['message'] = $message;
}
}
if(isset($_SESSION['message']))
{
echo $_SESSION['message'];
unset($_SESSION['message']);
}
?>
<form id="some_form" action="" method="post">
<fieldset>
<label for="name">Name</label> <input type="text" name="name" value="<?php echo $form['name']; ?>" />
<br /><br />
<label for="email">Email</label> <input type="text" name="email" value="<?php echo $form['email']; ?>" />
<br /><br />
<input type="submit" name="submit" value="Submit" />
</fieldset>
</form>
现在您可以一遍又一遍地刷新,而不是提交两次表单。
已编辑以显示更多示例。显然,您的验证和错误处理应该比这更复杂一些,但这应该会让您朝着正确的方向前进。
【讨论】:
如果用户想要这样做,你不能 100% 阻止这种情况,但是为了避免这种情况意外发生,请查看 Post/Redirect/Get。
【讨论】:
当您发送表单时,将一个随机数推入 $_SESSION['stopdupe'] 值,并推入隐藏字段。
收到表格进行处理时:
$_SESSION['stopdupe'] 是否存在,并与隐藏字段的值匹配。 (如果没有,请忽略该帖子)$_SESSION['stopdupe']
这样,如果用户按下提交按钮两次,第二个请求将不会被处理。
另一个有用的技巧是使用表单上的onSubmit javascript 事件来禁用按钮,这样用户就不能轻易地多次提交它。
【讨论】:
$_SESSION['stopdupe'] 数组和隐藏字段中,然后在发布时检查并从数组中删除该值。
这对我有用。我使用 smarty,但也可以不使用 smarty。这只是一个想法。根据需要修改它。
HTML 表单:
<form action="submit_file.php" method="POST">
<input type="hidden" name="submit_edit" value="1">
<input type="text" name="data"/>
</form>
globals.php中的php
if (count($_POST) > 0) {
if (isset($_POST['submit_edit']) && $_POST['submit_edit'] == '1'
&& time() - $_SESSION['last_request_time'] < 100
&& count($_SESSION['last_request']) > 0
&& serialize($_SESSION['last_request']) == serialize($_POST)) {
$oSmarty->assign('display_time_alert', '1');
unset($_POST['submit_edit']);
unset($_REQUEST['submit_edit']);
} else {
$_SESSION['last_request_time'] = time();
$_SESSION['last_request'] = $_POST;
}
}
这在 head.tpl 中
{literal}
<script>
function showTimeAlert(){
alert('{/literal}{tr var="Cannot send the same request twice"}{literal}');
}
{/literal}
{if isset($display_time_alert) AND $display_time_alert eq '1'}
showTimeAlert();
{/if}
{literal}
</script>
{/literal}
最后是 submit_file.php
require_once("globals.php");
if(isset($_POST['submit_edit']) && $_POST['submit_edit'] == '1')){
//record data
}
$oSmarty->dysplay(some.tpl);//in some.tpl is included head.tpl
【讨论】:
在第一页中使用一个会话变量并将值分配给 1。示例:
<form name="frm1" method="post">
<?php $_SESSION['resend_chk']=1; ?>
<input type="text" name="a" />
<input type="submit" name="submit">
</form>
在第二页:
if(isset($_REQUEST['submit'])
{
if($_SESSION['resend_chk']==1)
{
insert to db OR and any transaction
$_SESSION['resend_chk']=0;
}
}
它将插入一次或事务将在db中发生一次并且会话变量的值会改变,下次我们尝试重新发送数据时它不会执行任何事务,因为会话变量的值已经改变了。
【讨论】: