YII实现ThinkPHP的表单令牌

最新推荐文章于 2021-06-23 17:23:42 发布
最新推荐文章于 2021-06-23 17:23:42 发布
阅读量1.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beckzhanglang/article/details/9368399
版权

         thinkPHP做了很多傻瓜式的插件,其实慢方便开发的,最近看到了一个关于表单安全的很不错!

        在think中表单令牌:

        ThinkPHP内置了表单令牌验证功能,可以有效防止表单的重复提交等安全防护。
        表单令牌验证相关的配置参数有:          

  1. 'TOKEN_ON'=>true,  // 是否开启令牌验证 默认关闭
  2. 'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称
  3. 'TOKEN_TYPE'=>'md5',  //令牌哈希验证规则 默认为MD5
  4. 'TOKEN_RESET'=>true,  //令牌验证出错后是否重置令牌 默认为true

        如果开启表单令牌验证功能,系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表  单的自动令牌验证。
自动生成的隐藏域位于表单Form结束标志之前,如果希望自己控制隐藏域的位置,可以手动在表单页面添加{__TOKEN__} 标识,系统会在输出模板的时候自动替换。
如果页面中存在多个表单,建议添加{__TOKEN__}标识,并确保只有一个表单需要令牌验证。
如果个别页面输出不希望进行表单令牌验证,可以在控制器中的输出方法之前动态关闭表单令牌验证,例如:  

  1. C('TOKEN_ON',false);
  2. $this->display();

      模型类在创建数据对象的同时会自动进行表单令牌验证操作,如果你没有使用create方法创建数据对象的话,则需要手动调用模型的autoCheckToken方法进行表单令牌验证。如果返回false,则表示表单令牌验证错误。例如:

  1. $User = M("User"); // 实例化User对象
  2. // 手动进行令牌验证
  3. if (!$User->autoCheckToken($_POST)){
  4. // 令牌验证错误
  5. }
       这基本是一个表单令牌的实现和原理,然后在YII中目前我没有找到类似的东西,可能接触的太浅的缘故,但是看了这些究其根本只是一个参数设置,对比,销毁的过程,来实现对表单多次发送的控制!那么事情就简单了,我们在每次render的时候,以session模式给予一个keys赋值,到达页面的form进行隐藏,到提交页面进行对比session,当对比失败则不是正确表单,对比成功销毁sesion.这样一个简单有效的表单令牌就实现了!

        大家也许会发现很多大型网站URL后面的params,随意的改动不会影响页面的显示,而自己做的很容易就会引发404页面,或者跳到指定页面,这其实是一个WASC 威胁,我们要对所有的值进行区域性,给默认值,所有的输出都实体化一下就好了!

      



小炒肉
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Yii框架form表单用法实例
10-25
主要介绍了Yii框架form表单用法,实例分析了Yii中form表单实现方法与相关技巧,非常具有实用价值,需要的朋友可以参考下
前后端分离
纸鸢栀年°的博客
08-31 1389
1,前后端分离 1.1 什么是前后端分离 ​ 前端: 即客户端,负责渲染用户显示界面【如web的js动态渲染页面, 安卓, IOS,pc客户端等】 ​ 后端:即服务器端,负责接收http请求,处理数据 ​ API:Application Programming Interface 是一些预先定义的函数,或指软件系统不同组成部分衔接的约定 ​ 前后端分离 完整请求过程 ​ 1,前端通过h...
前后端分离的web令牌JWT(Token
weixin_42358094的博客
05-04 482
项目遇到前后端分离的状况下,需要token验证传递一系列信息是必不可少的; 大部分情况下会使用jwt所提供的token来完成需求; jwt---token的流程分为: 用户使用用户名密码来请求服务器 服务器进行验证用户的信息 服务器通过验证发送给用户一个token 客户端存储token,并在每次请求时附送上这个token值 服务端验证token值,并返回数据 前端登录成功后端会返回一...
vue 和 tp5之间的跨域传输token问题
weixin_46044420的博客
06-23 520
vue 和 tp5之间的跨域传输token问题 前言: 1.为什么使用token? 防止请求重复提交 2.vue 使用token交互时,token总验证失败? 为空? thinkphp表单令牌token 在vue 前后端分离开发情景下, 由于浏览器同源策略下 出现跨域 ,但是我们都知道怎么处理一般情况下的跨域请求 但是token这块如果缺少配置会出现问题。 屁话不多说 开始上代码:(本文所有代码均在文章结尾处链接下载) 一.前端:(vue) 我们在页面渲染前 与后端服务器请求token 存入co
yii2中自定义表单或者post请求 csrf验证(防跨站伪请求)
一杯苦恰啡的博客
08-31 5371
第一种解决办法是关闭Csrfpublic function init(){ $this->enableCsrfValidation = false; }第二种解决办法是在form表单中加入csrf隐藏域表单表单名根据我们的cookie设置。或者设置request组件的csrfParam字段为自己想要的字段名<input name="_csrf" type="hidden" id="_csr
yii框架登录令牌
Summer--楠的博客
08-09 657
一、判断是否同时登录,同时登录则挤掉第一个用户 1、 在数据库创建一个token表,让其与用户表关联,token随机字符串 2、登录时将数据库里的token换掉,并取出新的token与用户信息一起存到session //调用登录接口地址 $url = "http://localhost/php10/port/public/check?username=".$use...
yii用户注册表单验证实例
01-20
本文实例讲述了yii用户注册表单验证实现方法。分享给大家供大家参考,具体如下: 视图层:register.php <?php //使用小物件生成form元素 $form=$this->beginWidget('CActiveForm'); ?> <!--用户名--> &...
Yii2表单事件之Ajax提交实现方法
10-19
Yii2中,实现Ajax提交表单是一个常见的需求,下面我们将详细介绍如何通过外部JS文件或在视图文件中直接编写JS来实现这一功能。 首先,让我们看下表单部分的代码。在Yii2中,我们通常使用`ActiveForm`来创建表单,...
PHP Yii框架之表单验证规则大全
10-23
Yii是一个基于组件的高性能PHP框架,用于开发大型Web应用。Yii采用严格的OOP编写,并有着完善的库引用以及全面的教程,本文给大家介绍php yii框架之表单验证规则大全,感兴趣的朋友一起学习吧
Yii2简单实现表单添加验证码的方法
10-21
主要介绍了Yii2简单实现表单添加验证码的方法,简单分析了Yii中控制器的相关设置表单模型的创建及视图的调用技巧,需要的朋友可以参考下
yii2CSRF验证
czh0423的专栏
07-17 2814
Yii框架中,为了防止csrf攻击,封装了CSRF令牌验证。 只需要在主配置文件中进行简单的配置,就可以实现CSRF的验证。 'components'=>array( 'request'=>array( // Enable Yii Validate CSRF Token 'enableCsrfValidation' =>
YII 局部CSRF、令牌使用sessio存储
凄魅旋律
05-02 543
YII 自带的CSRF功能很强大,每个form提交的数都会进行令牌验证,导致在接收支付宝同步通知时,被YII的CSRF功能挡之门外。项目中可能有些地方需要进行CSRF验证,但是有些地方又不需要。YII2在顶级控制器中添加了关闭csrf的一个属性:/** * @var boolean whether to enable CSRF validation for the actions in this
Yii 自定义表单验证规则和客户端验证
陈小峰(iefreer)的专栏
06-09 5087
Yii使用rules来定义验证规则,缺省情况是在服务器端验证,如果想在客户端验证,那么需要给CActiveForm传递enableClientValidation参数。 对于大部分情况上述规则就能满足需求,Yii会自动生成相应的客户端JS验证脚本。 但对于一些自定义的界面控件,例如时间选择控件,要求对时间的取值做一定的范围约束,那么就需要用到自定义验证规则了。
ThinkPHP表单令牌设置步骤
小罗的博客
04-18 3316
1在Home下conf下的config.php文件配置参数表单令牌验证相关的配置参数有:‘TOKEN_ON’ => true, // 是否开启令牌验证 默认关闭 ‘TOKEN_NAME’ => ‘hash‘, // 令牌验证的表单隐藏字段名称,默认为hash ‘TOKEN_TYPE’ => ‘md5’, //令牌哈希验证规则 默认为MD5 ‘T
Yii2.0 RESTful API 认证教程【令牌验证】
willeny的博客
12-25 323
最近在做RESTful API认证功能,记录整个过程,方便以后查看。本文参照了 https://segmentfault.com/a/1190000016368603部分内容,感谢该作者的分享,以上内容根据我的项目实际情况进行了调整。 认证介绍 和Web应用不同,RESTful APIs 通常是无状态的, 也就意味着不应使用 sessions 或 cookies, 因此每个请求应附带某种授权凭证,...
Yii2的csrf token验证
诗与远方_
10-15 1538
yii2的接收post请求时 在如果开启 enableCsrfValidation为true 在/vendor/yiisoft/yii2/web/Controller.php <?php public function beforeAction($action) { if (parent::beforeAction($action)) { ...
Learning Yii Testing(PACKT,2015)
05-13
"Yii 测试学习指南" Yii 是一个高性能的 PHP 框架, Yii 2 提供了 Codeception 测试套件,支持单元测试、功能测试和验收测试。Codeception 提供了快速、稳定的应用程序开发体验。本书将指导读者学习 Yii 2 的测试...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值