这应该是个很长久的问题……长久得在网上一搜大把解决方案,就是关于如何防止表单重复提交的问题,而paperen这里也就再来解析一下解决的方法与原理,毕竟也是一个实用的技 术。如果您已经知道如何解决的话那么这篇文章可能不适合你的口味,paperen这里也打算从基础开始讨论,所以希望一步看到解决方案的您也可能不太适合,所以请注意。So~开始吧 ~

paperen想您一定知道表单是什么吧,form元素就是表单,一般网页需要输入的地方必定使用了表单元素,也很常见,一般的代码如下:

  
  
  1. <form 
  2.  
  3. method="post">
  4. <p>
  5.     <label for="test">随便输入点什么</label>
  6.     <input type="text" name="data" id="test" />
  7. </p>
  8. <p>
  9.     <input type="submit" value="提交" name="submit" />
  10. </p>
  11. </ul>
  12. </form>

重点其实是form与input元素,p元素只是paperen私自加上去的,对后续的说明没有任何影响,其实很简单,所谓input就是输入了,你可以完全将input 元素理解为是用作用户输入,只是某些属性的(type)不能作为输入而已(这里就是submit),而form元素你完全可以将它理解为是一个袋子,将所有用户输入数据到装在它里面之后用 来提交回服务端处理,但对于form元素值得注意的是method属性,一般来说有get与post两种方法,其实不要想得太复杂(因为深入的不需要太理解,对于后续的内容没有太多关系,如 有兴趣不妨可以使用浏览器的调试工具查看请求头部信息与发送信息,例如firebug),表现出来就是,使用get提交表单的话所有的input元素的值将会在地址栏处出现,而post则不会, 例如使用get提交此表单后的浏览器地址栏

http://localhost/mytest/token/form.php?data=test&submit=%E6%8F%90%E4%BA%A4

post则在 地址栏看不到了,使用fiebug可以看到如下信息

20111020210022

可以简单认为get是显式传送数据的,而 post则是隐式传送数据的,但还有一个很大区别的是post支持更多更大的数据传送。

Next,当表单代码写好了,那么让我们来进行服务器脚本的编写(这里就是PHP)。很简单 ~

  
  
  1. <?php
  2. if ( isset( $_POST['submit'] ) ) {
  3. 	//表单提交处理
  4. 	$data = isset( $_POST['data'] ) ? htmlspecialchars( $_POST['data'] ) : 
  5.  
  6. '';
  7. 	//Insert or Update数据库
  8. 	$sql = "insert into test (`string`) values ('$data')";
  9. 	//do query
  10. 	echo $sql;
  11. }
  12. ?>

因为这里是post传送数据的,所以使用PHP的$_POST全局变量就能获取到表单提交的数据,所有使用post方法的表单数据提交到服务端都会被保存在这个$_POST全局变 量中,不妨可以试试print_r( $_POST )这个变量你就明白了。

首先检查一下是否在$_POST数组里面存在submit,如果存在则证明是表单提交过来的,正如asp.net中好像有个 叫ispostback的一样,只是这样没那么严谨而已,但是不要紧之后会解决这个问题的。

之后接收输入框的数据,就是$_POST['data'],别忘了使用htmlspecialchars对这个进 行一下html过滤,因为防止输入了html标签或javascript造成问题(貌似叫做XSS漏洞)。最后就是拼接到sql语句中送入数据库跑了(只是这里paperen并没有很详细使用一些操作数据库的 函数例如mysql_query,有兴趣自己完成它)。恭喜,到了这里你已经顺利地完成了一个数据录入的功能了,但是有个地方你总得改善吧,插入数据后总得给操作者一个提示吧~~至少提示 我操作失败还是成功。所以整个代码paperen写成以下样子。

  
  
  1. <?php
  2. if ( isset( $_POST['submit'] ) ) {
  3. 	//表单提交处理
  4. 	$data = isset( 
  5.  
  6. $_POST['data'] ) ? htmlspecialchars( $_POST['data'] ) : '';
  7. 	
  8. 	//connect
  9. 	mysql_connect( 'localhost', 'root', 'root' );
  10. 	
  11.  
  12. //select db
  13. 	mysql_select_db( 'test' );
  14. 	//设置字符集防止乱码
  15. 	mysql_query( 'set names "utf8"' );
  16. 	//SQL
  17. 	$sql = "insert 
  18.  
  19. into `token` (string) values ('$data')";
  20. 	//query
  21. 	mysql_query( $sql );
  22. 	
  23. 	$insert_id = mysql_insert_id();
  24. 	if ( 
  25.  
  26. $insert_id ) {
  27. 		$state = 1;
  28. 	} else {
  29. 		$state = 0;
  30. 	}
  31. }
  32. ?>
    <?php if ( isset( $state ) 
  34. && $state ) { //数据插入成功 ?>
  35. <p>插入成功 <a href="form.php">返回</a></p>
  36. <?php } else { //失败或者没有插入动
  38.  ?>
  39. <form method="post">
  40. <p>
  41.     <label for="test">随便输入点什么</label>
  42.     <input type="text" 
  44. name="data" id="test" />
  45. </p>
  46. <p>
  47.     <input type="submit" value="提交" name="submit" />
  48. </p>
  49. </ul>
  50. </form>
  51. <?php } ?>

html的声明与head还有body都省略了,对比于一开始的代码其实主要是实现了真正插入数据库动作与给出 了操作反馈(通过$state变量),不妨自己拷贝代码然后试试(当然请根据自己实际情况修改数据库操作部分的代码)。代码正常,逻辑没问题,但是有个问题,就是在显示插入成功后再刷新页 面又会执行了表单处理动作,又插了一遍数据!这就是所谓的重复插入问题。在放出解决方案之前您可以自己思考一下该如何解决。

你会不会认为是接收数据与显示处理结果都是 这个页面所以才会导致这个问题?也对,也可以这么认为,使用一些调试工具你会发现,浏览器还对post的数据进行了保留,故在提交完表单后再刷新的话该post数据会重新提交了一遍。

20111021203151

如果有办法将浏览器的这个临时保存的post数据清空掉不就解决问题了,但服务端是没法 做到这点的,因为这是浏览器自身的事情,要么我们就重定向了不然再刷新还是会重复提交数据。

到目前为止也许你已经了解到重复提交的意思与问题的恶劣所在,如果 你不是选用重定向的办法那么就得另外想一个办法了,所以令牌解决办法就是这么过来的。

正如令牌本身代表着权限,操作权,身份标志等等,所以我能不能为我的表单加上这么 一个身份标志,在客户端每次请求这个表单的时候同时生成一个令牌其挂钩,在提交时再进行判断,正确则接收并处理表单。实现本质就是如此,而反映到具体实现上,就需要用到一种叫 session的东西。关于session的解析,参见wiki

简单的理解就是session也是一种令 牌的概念,所以你可能会很惊奇,“什么我已经使用了令牌?!”,是的,但是我们要实现的不仅仅是session而是在其基础上附加一些数据来实现我们想要的表单令牌。So let's do it!

session在php中也是被存放在$_SESSION这个超级全局变量里面的,启用起请使用session_start(),关于其他服务端脚本原理一样,只是可能调用方法名不一致而已。加入 token后的代码如下:

  
  
  1. <?php
  2. //开启session
  3. session_start();
  4. if ( isset( $_POST['submit'] ) && valid_token() ) {
  5.     //表单
  6.  
  7. 提交处理
  8. }
  9.  
  10. /**
  11.  * 生成令牌
  12.  * @return string MD5加密后的时间戳
  13.  */
  14. function create_token() {
  15.     //当前时间戳
  16.     
  17.  
  18. $timestamp = time();
  19.     $_SESSION['token'] = $timestamp;
  20.     return md5( $timestamp );
  21. }
  22. /**
  23.  * 是否有效令牌
  24.  * @return bool 
  25.  
  26.  
  27.  */
  28. function valid_token() {
  29.     if ( isset( $_SESSION['token'] ) && isset( $_POST['token'] ) && $_POST['token'] == md5( 
  30.  
  31. $_SESSION['token'] ) )
  32.     {
  33.         //若正确将本次令牌销毁掉
  34.         $_SESSION['token'] = '';
  35.         return true;
  36.     }
  37.     return false;
  38. }
  39. ?>
  40. <?php if ( isset( $state ) && $state ) { //数据插入成功 ?>
  41. <p>插入成功 <a href="form.php">返回
  42.  
  43. </a></p>
  44. <?php } else { //失败或者没有插入动作 ?>
  45. <form method="post">
  46. <p>
  47.     <label for="test">随便
  48.  
  49. 输入点什么</label>
  50.     <input type="text" name="data" id="test" />
  51. </p>
  52. <p>
  53.     <input type="submit" value="提
  54.  
  55. 交" name="submit" />
  56. </p>
  57. </ul>
  58. <!-- Token -->
  59. <input type="hidden" value="<?php echo create_token(); //生成
  60.  
  61. 令牌 ?>" name="token" />
  62. <!-- Token -->
  63. </form>
  64. <?php } ?>

部分代码paperen这里省略,因为并不是重点,其实加的 东西只有3处:

第一,在表单结束前加入了一个input元素,记得type为hidden(隐藏域)

第二,增加了两个函数,create_token与valid_token,前者用来生成令牌 的后者用来验证令牌的

第三,在if中多加一个条件,valid_token

那就大功告成了,很简单,而且所有的东西都聚集在新加的两个函数中。paperen这里使用的令牌很 简单就是时间戳,将请求表单时的时间戳存储到$_SESSION['token']中,那么验证令牌就明白了,就是检查客户端提交过来的$_POST['token']是否与md5后的$_SESSION['token']一致 就行了,当然还要加上存在$_POST['token']与$_SESSION['token']这两个变量才行。

你可以将这个简单的令牌模式封装得更加棒并扩展一下功能,例如加上表单提交超时验证 也是个不错的动手机会。

最后附上之前paperen扩展codeingeter的Form_validation类文件,主要是扩展上令牌与表单超时。压缩包中welcome.php是控制器文件,请放置到 application\controller中(如不想增加这个控制器可以打开然后将token方法复制下来放到已有的其他控制器中);MY_Form_validation.php请放到application\libraries中。


转自:http://iamlze.cn/post/use-token-avoid-repeated-form-submit