php高并发防重复提交需服务端幂等控制:①session+时间戳+表单标识token(单机轻量);②数据库唯一索引+业务字段组合(兜底可靠);③redis原子操作token校验(分布式必备)。
PHP 高并发下防止表单重复提交,核心不是靠前端禁用按钮或 JS 检测,而是必须在服务端做幂等性控制——否则用户连点两次、F5 刷新、后退重提,照样入库多条。
用 session + 时间戳 + 表单标识做一次性 Token
这是最轻量且兼容性最好的方案,适用于大多数非分布式场景:
- 用户访问表单页时,生成唯一
$_SESSION['form_token'] = bin2hex(random_bytes(16)),同时存入$_SESSION['form_timestamp'] = time() - 将
form_token作为隐藏字段写入表单:<input type="hidden" name="token" value="<?php echo $_SESSION['form_token']; ?>"> - 提交时校验:
if (!isset($_POST['token']) || $_POST['token'] !== $_SESSION['form_token'] || time() - ($_SESSION['form_timestamp'] ?? 0) > 300)→ 直接拒绝 - 校验通过后,立刻清空
unset($_SESSION['form_token'], $_SESSION['form_timestamp']),确保只能用一次
注意:不能只比对 token,必须加时间窗口,否则攻击者抓包重放仍有效;也不能依赖 session_destroy(),会误杀其他页面的 session 数据。
数据库唯一索引 + 业务字段组合防重
当表单最终要写入数据库(如订单、评论),光靠 token 不够——万一请求卡在中间、重试导致多次到达服务端,token 已清但 DB 还没写,就会漏防。
立即学习“PHP免费学习笔记(深入)”;
- 给关键业务表加联合唯一索引,例如订单表:
ALTER TABLE `orders` ADD UNIQUE KEY `uid_order_no` (`user_id`, `order_no`) - 生成
order_no时嵌入用户 ID 和毫秒级时间戳,或用uniqid('', true)+ 用户标识拼接,降低碰撞概率 - 插入前不查是否存在(查了也存在竞态),直接
INSERT ... ON DUPLICATE KEY UPDATE或捕获1062 Duplicate entry错误
这种方案本质是“让 DB 帮你判重”,比 PHP 层判断更可靠,但要求业务字段能构成自然唯一约束,且需处理好错误分支返回逻辑。
Redis 实现分布式 Token 校验(适合集群环境)
多个 PHP-FPM 实例或容器化部署时,session 可能不同步,必须换存储。Redis 是最常用选择:
- 生成 token 后,写入 Redis:
$redis->setex('form_token:'.$token, 300, $user_id.':'.time()) - 提交时用
$redis->del('form_token:'.$_POST['token'])原子性校验并删除 —— 返回 1 才允许继续,返回 0 即已用过或超时 - 注意 key 命名要带业务前缀(如
form:login:),避免和其他模块冲突;TTL 必须显式设,不能依赖默认值
别用 GET + DEL 两步操作,那是竞态漏洞高发区;DEL 在 Redis 中本身就是原子的,且返回值可直接判断有效性。
真正难的不是写几行代码,而是想清楚「在哪一层拦截」和「谁来承担幂等责任」:前端只是辅助,Session 适合单机,Redis 是分布式底线,DB 唯一索引才是最后一道闸。漏掉任意一环,高并发下都可能出数据脏写。
