Sicherheitsanalyse der Anti-Shake- und Anti-Duplicate-Übermittlung in PHP
Einführung:
Mit der Entwicklung von Websites und Anwendungen sind Webformulare zu einer der wichtigsten Möglichkeiten der Interaktion mit Benutzern geworden. Nachdem der Benutzer das Formular ausgefüllt und auf die Schaltfläche „Senden“ geklickt hat, empfängt und verarbeitet der Server die übermittelten Daten. Aufgrund von Netzwerkverzögerungen oder Fehlbedienungen durch den Benutzer kann es jedoch sein, dass das Formular mehrmals übermittelt wird. Wiederholte Übermittlungen erhöhen nicht nur die Belastung des Servers, sondern können auch verschiedene Sicherheitsprobleme verursachen, wie z. B. wiederholtes Einfügen von Daten, nicht autorisierte Vorgänge usw. Um diese Probleme zu lösen, können wir Anti-Shake- und Anti-Duplicate-Submission-Technologien verwenden.
1. Das Prinzip und die Implementierung von Anti-Shake
Anti-Shake ist eine Technologie zur Verarbeitung manueller Triggerereignisse. Ihr Prinzip besteht darin, eine Verzögerungszeit nach dem Triggerereignis festzulegen , wird die entsprechende Antwortoperation ausgeführt. Wenn das Ereignis innerhalb der Verzögerungszeit erneut ausgelöst wird, wird der Timer neu gestartet und der Vorgang wird erst dann ausgeführt, wenn das Ereignis innerhalb der Verzögerungszeit erneut ausgelöst wird.
In PHP können wir die Anti-Shake-Funktion über JavaScript und AJAX implementieren. Zuerst verwenden wir auf der Front-End-Seite JavaScript, um auf das Formularübermittlungsereignis zu warten und das Standardübermittlungsverhalten des Formulars zu verhindern. Verwenden Sie dann die AJAX-Technologie, um die Formulardaten zur Verarbeitung an ein PHP-Hintergrundprogramm zu senden. In PHP-Programmen können wir die Anti-Shake-Funktion implementieren, indem wir eine Verzögerungszeit festlegen. Der entsprechende Vorgang wird nur ausgeführt, wenn die gleiche Anfrage nicht innerhalb der Verzögerungszeit erneut empfangen wird.
Das Folgende ist ein spezifischer Beispielcode:
<script> var timer; // 定时器 document.getElementById("submitBtn").addEventListener("click", function(event) { event.preventDefault(); // 阻止表单的默认提交行为 clearTimeout(timer); // 清除之前的定时器 timer = setTimeout(function() { // 发送 AJAX 请求 var xhr = new XMLHttpRequest(); xhr.open("POST", "handle_form.php", true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhr.onreadystatechange = function() { if (xhr.readyState == 4 && xhr.status == 200) { console.log(xhr.responseText); } }; xhr.send(new FormData(document.getElementById("form"))); }, 500); // 延迟时间设置为 500 毫秒 }); </script>
In diesem Beispiel verwenden wir die Funktion setTimeout
, um einen Timer mit einer Verzögerung von 500 Millisekunden einzustellen. Jedes Mal, wenn auf die Schaltfläche „Senden“ geklickt wird und innerhalb von 500 Millisekunden erneut auf die Schaltfläche „Senden“ geklickt wird, wird der vorherige Timer gelöscht und dann mit einer Verzögerung von 500 Millisekunden zurückgesetzt. Die AJAX-Anfrage wird nur ausgeführt, wenn nicht innerhalb der Verzögerungszeit erneut auf die Schaltfläche „Senden“ geklickt wird. setTimeout
函数设置了一个延迟时间为 500 毫秒的定时器。每次点击提交按钮时,如果在 500 毫秒内再次点击提交按钮,就会先清除之前的定时器然后重新设置一个延迟时间为 500 毫秒的定时器。只有在延迟时间内没有再次点击提交按钮,才会执行 AJAX 请求。
二、防重复提交的原理与实现
防重复提交是一种确保每次提交请求只执行一次的技术,它的原理是在第一次提交请求后,记录一个标记(如一个 Token 或一个时间戳),并将这个标记存储在用户的会话中。当用户再次提交请求时,首先检查会话中是否存在这个标记,如果存在则表示请求已经提交过了,直接拒绝第二次提交;如果不存在,则表示是首次提交,执行相应的操作并记录这个标记到会话中。
在 PHP 中,我们可以通过会话存储和表单字段的校验来实现防重复提交功能。首先,在表单中添加一个唯一标识符(可以是一个隐藏字段或一个 Token),每次提交请求时将这个唯一标识符一同提交到后台。在 PHP 程序中,首先检查会话中是否存在这个唯一标识符,如果存在则表示请求已经提交过了,直接拒绝第二次提交;如果不存在,则表示是首次提交,执行相应的操作并将这个唯一标识符记录到会话中。
以下是一个具体的示例代码:
<?php session_start(); // 校验表单字段 if ($_POST["token"] != $_SESSION["token"]) { die("重复提交请求!"); } // 处理表单提交 // ... // 记录唯一标识符到会话中 $_SESSION["token"] = uniqid(); ?>
在这个示例中,我们首先通过 session_start()
函数开启会话,并校验表单字段 $_POST["token"]
是否与会话中的标识符 $_SESSION["token"]
相等。如果不相等,则表示是重复提交请求,直接结束程序并输出错误提示;如果相等,则表示是首次提交请求,执行相应的操作并将唯一标识符 uniqid()
Anti-Duplikat-Übermittlung ist eine Technologie, die sicherstellt, dass jede übermittelte Anfrage nur einmal ausgeführt wird. Ihr Prinzip besteht darin, eine Markierung (z. B. ein Token oder einen Zeitstempel) zu erfassen und diese zu speichern Stempel in der Sitzung des Benutzers. Wenn der Benutzer eine Anfrage erneut sendet, prüfen Sie zunächst, ob diese Markierung in der Sitzung vorhanden ist. Wenn sie vorhanden ist, bedeutet dies, dass die Anfrage gesendet wurde. Wenn sie nicht vorhanden ist, wird die zweite Übermittlung direkt abgelehnt Führen Sie bei der ersten Übermittlung den entsprechenden Vorgang aus und zeichnen Sie diese Markierung in die Konversation auf.
session_start()
und überprüfen das Formularfeld $_POST["token"]
entspricht dem Bezeichner $_SESSION["token"]
in der Sitzung. Wenn sie nicht gleich sind, bedeutet dies, dass die Anforderung wiederholt gesendet wird. Das Programm wird direkt beendet und eine Fehlermeldung ausgegeben. Wenn sie gleich sind, bedeutet dies, dass die Anforderung zum ersten Mal gesendet wird und der entsprechende Vorgang ausgeführt wird Der eindeutige Bezeichner uniqid()
wird in der Sitzung aufgezeichnet. 🎜🎜Fazit: 🎜Anti-Shaking und Anti-Repetitive Submission bieten eine gewisse Garantie für die Sicherheit von Webformularen. Durch die technischen Mittel der Anti-Shaking- und Anti-Repetitive-Übermittlung können wir das Problem der wiederholten Formularübermittlung, die durch Fehlbedienungen des Benutzers oder Netzwerkverzögerungen verursacht wird, wirksam vermeiden. Anti-Shaking und Anti-Duplicate-Übermittlung können jedoch nur einige Sicherheitsprobleme lösen und die Datensicherheit nicht vollständig garantieren. Daher müssen in der tatsächlichen Entwicklung andere Sicherheitsmaßnahmen kombiniert werden, um die Sicherheit von Webformularen zu verbessern, z. B. Datenüberprüfung, Berechtigungskontrolle usw. 🎜Das obige ist der detaillierte Inhalt vonSicherheitsanalyse der Anti-Shaking- und Anti-Duplicate-Übermittlung in PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!