ThinkPHP表单令牌验证功能

最新推荐文章于 2024-01-17 17:57:49 发布
最新推荐文章于 2024-01-17 17:57:49 发布
阅读量1.4k 收藏
点赞数
分类专栏: thinkphp PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ningxinyu520/article/details/8763756
版权

ThinkPHP表单令牌验证功能

ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。
表单令牌验证相关的配置参数有

'TOKEN_ON'=>true,  // 是否开启令牌验证    


'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称    


'TOKEN_TYPE'=>'md5',  //令牌哈希验证规则 默认为MD5

如果开启表单令牌验证功能,系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。
      自动生成的隐藏域位于表单Form结束标志之前,如果希望自己控制隐藏域的位置,可以手动在表单页面添加__TOKEN__ 标识,系统会在输出模板的时候自动替换。如果在开启表单令牌验证的情况下,个别表单不需要使用令牌验证功能,可以在表单页面添加__NOTOKEN__,则系统会忽略当前表单的令牌验证。
     如果页面中存在多个表单,建议添加__TOKEN__标识,并确保只有一个表单需要令牌验证。
    模型类在创建数据对象的同时会自动进行表单令牌验证操作,如果你没有使用create方法创建数据对象的话,则需要手动调用模型的autoCheckToken方法进行表单令牌验证。如果返回false,则表示表单令牌验证错误。例如:

$User = M("User"); // 实例化User对象    


// 手动进行令牌验证    


if (!$User->autoCheckToken($_POST)){    


// 令牌验证错误    


}


 

在ThinkPHP框架的View.class.php里定义了一个公共的模板替换函数

protected function templateContentReplace($content) { 
        // 系统默认的特殊变量替换 
        $replace =  array( 
            '../Public'     => APP_PUBLIC_PATH,// 项目公共目录 
            '__PUBLIC__'    => WEB_PUBLIC_PATH,// 站点公共目录 
            '__TMPL__'      => APP_TMPL_PATH,  // 项目模板目录 
            '__ROOT__'      => __ROOT__,       // 当前网站地址 
            '__APP__'       => __APP__,        // 当前项目地址 
            '__UPLOAD__'    => __ROOT__.'/Uploads', 
            '__ACTION__'    => __ACTION__,     // 当前操作地址 
            '__SELF__'      => __SELF__,       // 当前页面地址 
            '__URL__'       => __URL__, 
            '__INFO__'      => __INFO__, 
        ); 
        if(defined('GROUP_NAME')) 
        { 
            $replace['__GROUP__'] = __GROUP__;// 当前项目地址 
        } 
        if(C('TOKEN_ON')) { 
            if(strpos($content,'{__TOKEN__}')) { 
                // 指定表单令牌隐藏域位置 
                $replace['{__TOKEN__}'] =  $this->buildFormToken(); 
            }elseif(strpos($content,'{__NOTOKEN__}')){ 
                // 标记为不需要令牌验证 
                $replace['{__NOTOKEN__}'] =  ''; 
            }elseif(preg_match('/<\/form(\s*)>/is',$content,$match)) { 
                // 智能生成表单令牌隐藏域 
                $replace[$match[0]] = $this->buildFormToken().$match[0]; 
            } 
        } 
        // 允许用户自定义模板的字符串替换 
        if(is_array(C('TMPL_PARSE_STRING')) ) 
            $replace =  array_merge($replace,C('TMPL_PARSE_STRING')); 
        $content = str_replace(array_keys($replace),array_values($replace),$content); 
        return $content; 
    }


上面的if(C('TOKEN_ON'))是对令牌验证的开启状态进行判断,若开启则调用buildFormToken()方法,$_SESSION[$tokenName] = $tokenValue; 其实就是给$_SESSION['__hash__']赋值。如果不想进行令牌验证,只要在页面的之前加入{__NOTOKEN__}就行了,它会被函数替换成空。

在ThinkPHP的Model.class.php类里定义了令牌的验证函数

// 表单令牌验证 
        if(C('TOKEN_ON') && !$this->autoCheckToken($data)) { 
            $this->error = L('_TOKEN_ERROR_'); 
            return false; 
        } 


  // 自动表单令牌验证 
    public function autoCheckToken($data) { 
        $name   = C('TOKEN_NAME'); 
        if(isset($_SESSION[$name])) { 
            // 当前需要令牌验证 
            if(empty($data[$name]) || $_SESSION[$name] != $data[$name]) { 
                // 非法提交 
                return false; 
            } 
            // 验证完成销毁session 
            unset($_SESSION[$name]); 
        } 
        return true; 
    }


贴身护卫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
thinkphp5第35课:令牌
李书明(石家庄)的专栏
11-11 739
令牌的作用:避免的重复提交。当然还有另外一个原因,使用令牌可以防止黑客绕过,伪造数据进行提交。 首先,在前端页面的中,添加:<input type="hidden" name="__token__" value="{$Request.token}" /> 比如下面的代码: <!DOCTYPE html> <html lang="en"&gt...
thinkPHP框架令牌
zndy10
06-27 424
一、令牌验证 这个可以帮助我们防止重复提交以及一些安全验证。具体在项目中怎么使用呢?下面是具体介绍: 1.在我们需要的模块的conf文件夹下创建tags.php文件 在文件中加入以下代码 2.在配置文件中加入以下代码,配置令牌的信息 3.最后我们在我们的控制器中编写一个验证的方法即可 而autoCheckToken()这个方法是thinkPHP中的系统方
tp5.1之令牌使用,解决令牌失效
Vency__的博客
10-30 2142
1.按照官方文档前端加{:token()},如图: 2.令牌验证token无法验证,要跟其他的验证字段一起使用,如下图: 第一行:new Validate('验证规则', '验证提示信息'); 第二行:验证字段数组要独添加 ‘__token__’ => 接收到的token值 成功验证解决验证令牌失效 ...
thinkphp5 第38课:正确使用令牌
李书明(石家庄)的专栏
12-26 1056
使用令牌,一方面可以防止重复提交,二方面可以防止黑客CSRF。 令牌是在服务器端随机生成的一串字符,保存在session中,并传递给前端页面,当前端数据提交时,一并携带令牌提交给服务器,服务器验证提交的令牌与session中的令牌是否一致,并同时销毁session中的令牌。所以每次请求时的令牌只能使用一次,下次如果使用同样的令牌就会失效,这即阻止了重复提交,也防止了黑客CSRF。 ...
请解释PHP中的令牌(CSRF令牌
最新发布
周祥平程序专栏
01-17 548
在PHP中,通过生成和验证令牌可以有效地防止恶意用户利用用户身份进行非授权的操作。可以通过比较请求中的令牌与服务器端存储的令牌是否一致来进行验证。如果令牌不匹配,说明请求可能是恶意的,服务器可以拒绝该请求或者采取其他措施。为了增加安全性,每个令牌应该是唯一的,并且每次请求都应该生成一个新的令牌。通过实现令牌验证机制,可以防止恶意用户利用用户身份执行非授权的操作,提高网站的安全性。在PHP中,可以使用内置的。在生成页面时,服务器会生成一个随机的令牌,并将其嵌入到的隐藏字段中。
ThinkPHP5.1令牌Token失效问题的解决
01-20
ThinkPHP出于安全的考虑增加了令牌Token,由于通过Ajax异步更新数据仅仅部分页面刷新数据,就导致了令牌Token不能得到更新,紧接着的第二次新建或更新数据(提交时)失败——不能通过令牌验证。...
ThinkPHP令牌验证实例
10-25
ThinkPHP新版内置了令牌验证功能,可以有效防止的远程提交等安全防护。这篇文章主要介绍了ThinkPHP令牌验证,需要的朋友可以参考下
ThinkPHP令牌错误与解决方法分析
10-19
在本文中,我们将深入探讨ThinkPHP令牌的原理、配置、错误原因以及如何解决这些问题。 ### 令牌的原理 令牌的工作流程如下: 1. **生成令牌**:服务器在生成时,会生成一个唯一的令牌并将其存储...
ThinkPHP令牌错误的相关解决方法分析
12-17
在使用ThinkPHP框架进行Web应用开发时,可能会遇到“令牌错误”的问题。这个问题通常是由于框架的安全机制在检测到提交时的令牌验证失败所引起的。令牌机制是为了防止跨站请求伪造(CSRF)攻击而设计的,它...
tp5令牌有什么用
AlertQian的博客
06-08 4486
令牌的作用在于防止数据的重复提交,原理是生成一个token值,用session缓存起来,这个过程是在打开填写的页面时就生成了,然后我们填写完数据是提交到php页面,此时的token值会和之前缓存起来的值进行对比,如果不一样就会报错。转自:tp5令牌有什么用...
php 令牌验证 原理,PHP -- ThinkPHP框架下令牌原理
weixin_34643336的博客
03-10 314
这篇文章主要介绍了PHP -- ThinkPHP框架下令牌原理,较为详细的分析了thinkPHP令牌的原理、配置、错误原因与相应的解决方法。thinlphp框架项目中开启令牌,要在配置文件中做如下配置array(//是否开启令牌验证'TOKEN_ON'=>true,//令牌验证隐藏字段名称'TOKEN_NAME'=>'__hash__',//令牌哈希验证规则 默认为M...
php令牌案例,thinkPHP中create方法与令牌验证实例浅析
weixin_39669982的博客
03-20 64
本文实例讲述了thinkPHP中create方法与令牌验证。分享给大家供大家参考,具体如下:thinkPHP的create方法与令牌验证主要是涉及的安全性。代码如下:// 本类由系统自动生成,仅供测试用途class IndexAction extends Action{public function index(){$this->display();}//一般用户在网站完成信息的添加修改...
php 令牌验证 原理,ThinkPHP令牌验证实例
weixin_39629631的博客
03-10 228
ThinkPHP内置了令牌验证功能,可以有效防止的远程提交等安全防护。令牌验证相关的配置参数有:'TOKEN_ON'=>true, // 是否开启令牌验证'TOKEN_NAME'=>'__hash__', // 令牌验证隐藏字段名称'TOKEN_TYPE'=>'md5', //令牌哈希验证规则 默认为MD5如果开启令牌验证功能,系统会自动在带有的模板文件...
ThinkPHP5令牌+数据验证验证规则
weixin_33919941的博客
05-08 767
转:http://blog.163.com/zhuxun_why/blog/static/26813905020171861417642/验证真的很简 相比较yii的验证tp做的很人性 也能达到效果相关规则:// 验证规则默认提示信息protectedstatic$typeMsg=[ 'require'=>':attribute不能...
ThinkPHP令牌的设置步骤
小罗的博客
04-18 3321
1在Home下conf下的config.php文件配置参数令牌验证相关的配置参数有:‘TOKEN_ON’ => true, // 是否开启令牌验证 默认关闭 ‘TOKEN_NAME’ => ‘hash‘, // 令牌验证隐藏字段名称,默认为hash ‘TOKEN_TYPE’ => ‘md5’, //令牌哈希验证规则 默认为MD5 ‘T
Thinkphp令牌验证TOKEN_ON
weixin_33943836的博客
06-05 622
2019独角兽企业重金招聘Python工程师标准>>> ...
php令牌案例,ThinkPHP自动令牌验证(附实例)
weixin_32192681的博客
03-20 216
一、数据结构user结构如下:id username password二、view模板部分/view/index.html页面如下:123456三、action部分:/Controller/IndexController.class.php页面如下:12345678910111213141516171819namespace Home\Controller;use Think\Controll...
thinkphp 令牌使用
slpond的博客
01-09 3856
(适用于thinkphp3.2,能在下图中找到红线文件) 一、配置文件 在conf文件夹下配置两个文件 1)config.php   <?php return array( 'TOKEN_ON' => true, // 是否开启令牌验证 默认关闭 'TOKEN_NAME' => '__hash__', // 令牌验证隐藏字
ThinkPHP自动令牌验证(附实例)
koothon的专栏
04-17 5482
自动令牌会向当前SESSION会话当中放上一个md5加密的字符串。并将这个字符串以隐藏域的形式插入到的form之前。这个字符串出现在两个地方,一个是在SESSION当中,另一个就是在当中。当你提交后,服务器第一件事就是对比这个SESSION信息,如果正确的话,准许提交,否则不允许提交。
thinkphp 登录验证
07-25
thinkphp提供了丰富的MVC架构和ORM功能,而workerman则提供了高效的网络通信能力,可以轻松实现长连接、异步IO等功能。同时,workerman也可以作为thinkphp的扩展库来使用,为thinkphp提供更多的网络通信能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值