Prévenir les soumissions de formulaires en double
J'ai trouvé une technique pour éviter de dupliquer le formulaire de soumission en remontant en arrière/vers l'avant ou l'actualisation de la page. Et j'ai pensé à duscussing ici, je l'ai déjà testé un échantillon de ne pas en environnement de production, qu'est-ce que les défauts que vous pouvez identifier?
Veuillez noter que je suis bien conscient de l'utilisation de la Forme des Jetons, ce qui permettra de vous défendre contre les attaques CSRF, et n'a pas été ajouté dans les étapes ci-dessous.
-Générer des ID pour chaque forme, et l'utiliser comme champ caché dans le formulaire:
$formid = microtime(true)*10000;-Sur le formulaire de soumission:
-
Validation à partir de données
-
Calculer la valeur de hachage de données des champs
$allvals = ''; foreach($_POST as $k=>$v){ $allvals .= $v; } $formHash = sha1($allvals); -
Valider le formulaire de hachage en comparant avec déjà enregistré les tables de hachage. la session de valeur est affectée à chaque forme par $formid variable.
$allowAction = true; if(isset($_SESSION['formHash'][$_POST['formid']]) && ($_SESSION['formHash'][$_POST['formid']] == $formHash)){ $allowAction = false; } - si le formulaire de hachage n'a pas été trouvé, cela signifie que c'est la première fois de soumission du formulaire ou de la forme de données est modifiée.
-
Si les données enregistrées ( à la base de données, par exemple), d'enregistrer le formulaire de hachage à la session:
$_SESSION['formHash'][$_POST['formid']] = $formHash;
Version complète du code:
http://thebusy.me/2011/01/06/preventing-duplicate-form-submissions/
source d'informationauteur isogashii
Vous devez vous connecter pour publier un commentaire.
Une façon plus simple d'obtenir ce que vous voulez est d'utiliser rediriger sur "soumettre". Après le traitement d'une requête POST vous rediriger, peut-être même à la même page. C'est un modèle courant appelé "Redirection après le POST" ou POST/Redirect/GET.
Par exemple:
Par réglage de l'action "" alors qu'elle présentera à lui-même, à quel point le si($_POST) bloc de code permettra de valider et traiter le formulaire, puis rediriger à lui-même.
Bien sûr, vous voulez probablement pour rediriger vers une autre page qui affiche un "votre formulaire a été soumis" réponse, ou de placer le formulaire sur une autre page et avoir le code HTML de cette page-être la réponse.
L'avantage de cette méthode est que lorsque vous appuyez sur le bouton de retour, il fait une demande d'OBTENIR la forme est donc pas soumis de nouveau.
Sur Firefox, il va prendre la soumission à lui-même hors de l'historique du navigateur ainsi, lorsque les utilisateurs naviguent sur le web et ensuite frapper en retour, au lieu de voir la page "merci" ils voir la page du formulaire.
On dirait que vous êtes entrer trop compliqué avec cette. Ma façon préférée, parce qu'elle empêche également certaines session jacking hacks en même temps, est décrite ici:
http://www.spotlesswebdesign.com/blog.php?id=11
C'est simple et facile à impliment sur toute forme. Il utilise généré de façon aléatoire une page de l'id d'instance pour vérifier que le formulaire de soumission reçue est identique à la dernière page servi à cet utilisateur particulier.
Les deux solutions ci-dessus sont bonnes mais un peu court.
comment à propos de l'arrêt de plus d'insertions dans les prochaines minutes à partir de la même utilisateur avec peut-être des changements mineurs dans les données?
cela peut être fait en mettant un hachage md5 dans un cookie sur l'ordinateur de l'utilisateur et stocker une copie de la base de données - de cette façon, toute tentative ultérieure de la même machine pendant un temps déterminé peut être ignoré et arrêté d'être inséré dans la base de données.
peut-être quelqu'un peut commenter sur la validité et l'efficacité de ma suggestion ou suis-je fausse route ???