一个“页面”上的多个表单 - 多个提交“块”

Question

我在一页上有多个表单（约 30 个），其中一些带有文件上传。

每个表单都有自己的提交按钮。

结构是 bootstrap-tab 和 -collapsebox-design - 因此您可以在不重新加载的情况下更改选项卡并访问“控制面板”中的每个表单。

我尝试为所有表单运行“mysql inject me”（firefox 插件），结果：

服务器响应错误 500。

没有改变任何东西，不得不等待 5 分钟，一切又好了。

我的问题是：如何防止快速自动/用户提交这些表单（服务器端）？无论如何这可能吗？所以每个用户每 ~ 1 秒只能提交一个。

Answer 1

1. 给用户一个会话
2. 在会话中定义一个名为last-submit的变量，并将当前时间作为值。
3. 当表单结果出现时：
   1. 检查 last-submit 值是多少。
   2. 如果超过x秒前，则将时间保存为last-submit并分别回复。
   3. 如果少于 x 秒，则拒绝表单并分别回复。

如果您想阻止机器人或脚本，请同时执行以下操作：

1. 在表单中添加一个输入字段，将其命名为 _robo_trap_ 并通过将样式设置为 display: none 使其对人眼不可见。
2. 当表单进入时，检查robo_trap 是否有任何值或其默认值是否已更改。如果是，则丢弃该表格，因为人类看不到，也不需要填写。

例如：

<?php

/* User Session */
session_start();

/* Current Time */
$now = new DateTime();

/* First Time ... */
if ( empty($_SESSION['last-submit']) ) {
    $_SESSION['last-submit'] = $now;
}

/* On Form Submit ... */
if ( !empty($_POST) ) {

    /* How fast?! */
    $gap = now->diff( $_SESSION['last-submit'] );
    $gap = $gap->format('%s');

    if ( $gap > 1 ) {

        // good ...

        $_SESSION['last-submit'] = $now;

    } else {

        // bad ...
    }
}

附：只是一个示例代码给你一些想法，我没有测试它。

Answer 2

为什么没有一个带有用户 ID 的 MySQL 表，并有一个名为“last_submit”的行，它是 datetime。

每次用户提交内容时更新它。

然后让 PHP 检查他们最近没有提交过什么。

Answer 3

您可以暂时禁用其他表单提交操作：

$(document).ready(function(){

    $(':input[type="submit"]').click(function(){

         var otherButtons = $(':input[type="submit"]').not($(this));
         otherButtons.prop('disabled', true);

         setTimeout(function(){
             otherButtons.prop('disabled', false);
         },
         1000); //disable for 1 second


    });

});

在服务器端，您可以进行重新提交检查，如下所示：PHP avoid browser reposting $_POST on page refresh?