生成唯一令牌并存入session,嵌入表单隐藏字段;2. 提交时比对令牌一致性,验证后立即清除;3. 添加时间戳限制有效期;4. 页面刷新更新令牌;5. 结合前端防护,实现一次性使用,防止重复提交。
防止重复表单提交是Web开发中的常见需求,PHP中通过令牌(Token)机制能有效解决该问题。关键在于生成唯一且有时效性的令牌,并在提交后及时失效或刷新,避免被恶意或误操作重复使用。
令牌生成与唯一性保障
每次打开表单页面时,服务器应生成一个唯一的令牌并存储在session中,同时嵌入到表单的隐藏字段里。
- 使用
bin2hex(random_bytes(16))生成高强度随机字符串,确保不可预测性 - 将生成的token存入
$_SESSION['form_token'] - 在HTML中以隐藏域形式输出:
<input type="hidden" name="token" value="生成的值">
提交验证与即时失效机制
表单提交后,必须比对请求中的token与session中是否一致,验证通过后立即清除session中的token,实现“一次性”使用。
- 接收POST数据时检查
$_POST['token']是否存在且与$_SESSION['form_token']相等 - 验证成功后立刻执行
unset($_SESSION['form_token']),防止二次提交 - 若不一致或为空,终止操作并提示“非法请求或重复提交”
令牌时效性控制(过期机制)
为增强安全性,可为令牌添加时间戳,限制其有效使用窗口,比如5分钟内有效。
立即学习“PHP免费学习笔记(深入)”;
- 生成token时同时记录时间:
$_SESSION['token_time'] = time() - 验证前先判断
time() - $_SESSION['token_time'] > 300(即300秒),超时则拒绝提交 - 结合Redis等缓存系统可更灵活管理过期,如设置key自动过期
刷新页面时的令牌更新策略
用户刷新表单页应获得新token,避免旧token残留引发问题。
基本上就这些。核心逻辑是:一次生成、一次使用、限时有效、用后即焚。只要保证服务端严格校验并及时销毁,就能有效防止重复提交。不复杂但容易忽略细节。
