php 令牌验证 原理,PHP -- ThinkPHP框架下表单令牌原理

最新推荐文章于 2023-04-07 12:22:09 发布
最新推荐文章于 2023-04-07 12:22:09 发布
阅读量305 收藏
点赞数
文章标签: php 令牌验证 原理

这篇文章主要介绍了PHP -- ThinkPHP框架下表单令牌原理,较为详细的分析了thinkPHP表单令牌的原理、配置、错误原因与相应的解决方法。

thinlphp框架项目中开启表单令牌,要在配置文件中做如下配置

array(//是否开启令牌验证'TOKEN_ON'=>true,//令牌验证的表单隐藏字段名称'TOKEN_NAME'=>'__hash__',//令牌哈希验证规则 默认为MD5'TOKEN_TYPE'=>'md5',//令牌验证出错后是否重置令牌 默认为true'TOKEN_RESET'=>true);

编辑数据

$table= D('table');if(!$table->create()) {exit($this->error($table->getError()));}

TP框架中Model.class.php中的create方法

/***创建数据对象*@accesspublic*@parammixed $data创建数据*@paramstring $type状态*@returnmixed*/functioncreate($data='',$type=''){//表单令牌验证if(!$this->autoCheckToken($data)) {$this->error= L('_TOKEN_ERROR_');return false;}}

当autoCheckToken方法检测失败时会报错

//自动表单令牌验证functionautoCheckToken($data){//支持使用token(false)关闭令牌验证//如果在Action写了D方法,但没有对应的Model文件,那么$this->options为空if(isset($this->options['token']) && !$this->options['token'])return true;if(C('TOKEN_ON')) {$name= C('TOKEN_NAME');if(!isset($data[$name]) || !isset($_SESSION[$name])) {//令牌数据无效return false;}//令牌验证list($key,$value) =explode('_',$data[$name]);if($value&&$_SESSION[$name][$key] ===$value) {//防止重复提交unset($_SESSION[$name][$key]);//验证完成销毁sessionreturn true;}//开启TOKEN重置if(C('TOKEN_RESET'))unset($_SESSION[$name][$key]);return false;}return true;}

$_SESSION[$name]这个seesion变量,从生成令牌时说起,定位TokenBuildBehavior.class.php文件

//创建表单令牌functionbuildToken(){$tokenName= C('TOKEN_NAME');$tokenType= C('TOKEN_TYPE');if(!isset($_SESSION[$tokenName])) {$_SESSION[$tokenName] =array();}//标识当前页面唯一性$tokenKey=md5($_SERVER['REQUEST_URI']);if(isset($_SESSION[$tokenName][$tokenKey])) {//相同页面不重复生成session$tokenValue=$_SESSION[$tokenName][$tokenKey];}else{$tokenValue=$tokenType(microtime(TRUE));$_SESSION[$tokenName][$tokenKey] =$tokenValue;}$token='';return$token;}

这段代码主要是在TP开启表单验证的情况下,以TOKEN_NAME和当前URI的md5为健生成令牌值,

再在用户提交表单时,先验证下是否存在该session,没有则返回false,有则紧接着和表单字段TOKEN_NAME验证下,

如果一致先删除此session(作用时避免下次提交出先表单令牌错误),返回ture,否则返回false。

TP下表单提交出现令牌错误的原因

1. 在令牌开启的状态下,提交的表单中,没有TOKEN_NAME字段或是没有相应session

(当前提交表单环境下,没有生成相应session,这个主要是在用户提交后报错用户紧接着又刷新当前页面)

2. 有session变量,但前后值不一样

以上就是本文PHP -- ThinkPHP框架下表单令牌原理的全部内容,希望本文所述对大家基于ThinkPHP框架的PHP程序设计有所帮助。

42b555c422fbe00c47d7fe555b0c7ba0.png

是minno
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkPHP表单令牌错误与解决方法分析
10-19
主要介绍了ThinkPHP表单令牌错误与解决方法,较为详细的分析了thinkPHP表单令牌原理、配置、错误原因与相应的解决方法,需要的朋友可以参考下
thinkphp5第35课:表单令牌
李书明(石家庄)的专栏
11-11 715
表单令牌的作用:避免表单的重复提交。当然还有另外一个原因,使用表单令牌可以防止黑客绕过表单,伪造数据进行提交。 首先,在前端页面的表单中,添加:<input type="hidden" name="__token__" value="{$Request.token}" /> 比如下面的代码: <!DOCTYPE html> <html lang="en"&gt...
php 登陆令牌例子,PHP Token(令牌)设计应用
weixin_30913041的博客
03-10 209
PHP Token(令牌)设计 设计目标: 避免重复提交数据. 检查来路,是否是外部提交 匹配要执行的动作(如果有多个逻辑在同一个页面实现,比如新增,删除,修改放到一个PHP文件里操作) 这里所说的token是在页面显示的时候,写到FORM的一个隐藏表单项(type=hidden). token不可明文,如果是明文,那就太危险了,所以要采用一定的加密方式.密文要可逆.俺算法很白痴,所以采用了网上一...
php 令牌验证 原理,ThinkPHP令牌验证实例
weixin_39629631的博客
03-10 216
ThinkPHP内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。表单令牌验证相关的配置参数有:'TOKEN_ON'=>true, // 是否开启令牌验证'TOKEN_NAME'=>'__hash__', // 令牌验证表单隐藏字段名称'TOKEN_TYPE'=>'md5', //令牌哈希验证规则 默认为MD5如果开启表单令牌验证功能,系统会自动在带有表单的模板文件...
php表单生成令牌,ThinkPHP6.0表单令牌 - ThinkPHP6.0快速开发手册(案例版) - php中文网手册...
weixin_35278163的博客
03-25 304
简单易用的表单令牌表单令牌可以提升表单验证的易用和安全性表单令牌可以提升表单验证的易用和安全性添加令牌Token验证验证规则支持对表单令牌验证,首先需要在你的表单里面增加下面隐藏域:也可以直接使用{:token_field()}默认的令牌Token名称是__token__,如果需要自定义名称及令牌生成规则可以使用{:token_field('__hash__','md5')}第二个参数表示to...
php 令牌验证 原理,表单令牌验证
weixin_33209661的博客
03-10 333
# 表单令牌表单令牌可以放置重复提交,同时对机器人有一定的拦截作用,在 phpGrace 的支持下(利用 cookie),实现这样的功能是非常简单的,函数说明:## **1、setToken() 设置token**在表单中使用隐藏域设置令牌,如:~~~"/>~~~## **2、getToken 获取令牌的值**在控制器内获取表单提交信息,并校验令牌,如:~~~classindexCont...
Thinkphp 6.0模版的杂项和表单令牌
qq_34820433的博客
04-07 487
Thinkphp 6.0模版的杂项和表单令牌的功能。
ThinkPHP5.1表单令牌Token失效问题的解决
01-20
ThinkPHP出于安全的考虑增加了表单令牌Token,由于通过Ajax异步更新数据仅仅部分页面刷新数据,就导致了令牌Token不能得到更新,紧接着的第二次新建或更新数据(提交表单时)失败——不能通过令牌验证。...
ThinkPHP令牌验证实例
10-25
ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。这篇文章主要介绍了ThinkPHP令牌验证,需要的朋友可以参考下
thinkphp商城活动倒计时+表单令牌验证
07-27
两个计时器:活动开始前倒计时和活动开始后结束前倒计时,并且在计时器页面提供按钮在活动不同状态同一按钮指向不同页面.同时还有活动时间设置页面可以自由设置活动时间, ...表单令牌验证,简单的小demo.
表单提交中的重复问题(表单令牌验证
weixin_30788619的博客
07-06 124
在日常的表单提交中,如果由于网络或其他原因,很容易出现同一个表单提交多次,此时可以使用表单令牌验证 在提交的表单里,增加多一个隐藏数据,token,该token由后台脚本生成(如:php使用md5(rand(1,99999999))) 然后将生成的值保持至session或文本中,在表单提交中,对该token进行准确性认证,以确定表单提交的唯一性 转载于:https://www.cnblo...
ThinkPHP3.2支持表单令牌
minihuabei的博客
12-11 361
防止同一个请求多次提交 config.php 'TOKEN_ON' => true, // 是否开启令牌验证 默认关闭 'TOKEN_NAME' => '__hash__', // 令牌验证表单隐藏字段名称,默认为__hash__ 'TOKEN_TYPE' => 'md5', //令牌哈希验证规则 默认为MD5 'TOKEN_RESET' => true, //令牌验证出错后是否重置令牌 默认为true在这里插入代码片 tags.php <
thinkphp5 第38课:正确使用表单令牌
李书明(石家庄)的专栏
12-26 957
使用表单令牌,一方面可以防止重复提交表单,二方面可以防止黑客CSRF。 表单令牌是在服务器端随机生成的一串字符,保存在session中,并传递给前端页面,当前端数据提交时,一并携带令牌提交给服务器,服务器验证提交的令牌与session中的令牌是否一致,并同时销毁session中的令牌。所以每次请求时的令牌只能使用一次,下次如果使用同样的令牌就会失效,这即阻止了重复提交,也防止了黑客CSRF。 ...
让token令牌的session永远保持1个
wiz333的专栏
03-17 1767
原来的token是每个页面对应一个session来存放__hash__值, 我的每个页面头部都有一个登录框,用户每访问一个页面就会产生一个token,如果用户一直不提交,那么token就不会自动销毁(除非session过期)。 一个解决方案是通过配置文件,关闭令牌,只有在需要的视图中打开配置参数。 但是我觉得我的网站不需要同时多个页面同时提交表单,而且我使用了session db hande
php表单令牌,ThinkPHP5表单令牌+表单数据验证验证规则
weixin_42393362的博客
03-10 453
转:http://blog.163.com/zhuxun_why/blog/static/26813905020171861417642/表单验证真的很简单 相比较yii的表单验证tp做的很人性 也能达到效果相关规则:// 验证规则默认提示信息protectedstatic$typeMsg=['require'=>':attribute不能为空','number'...
TP开启令牌验证
...
08-08 5014
开启令牌验证保证数据表单提交数据只能提交一次,有效防止表单的重复提交等安全防护。这就保证了提交数据的唯一性。在Tp中,其原理是系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证。这样表单每次提交就要被验证是否带有这个值。从而保证了数据提交的唯一性。 要启用表单令牌功能,需要配置行为绑定,在应
ThinkPHP框架总结之安全及使用
云水之路的专栏
02-19 3228
本片文章主要总结和介绍了使用TP过程中,加强项目安全的一些办法,具体是以例子为导向验证演示。
关于ThinkPHP表单令牌错误的相关解决办法
热门推荐
攀爬蜗牛-dutycode.com
03-07 1万+
今天在用ThinkPHP做程序的时候,以前用create创建数据的时候,出现了错误提示“表单令牌错误”,然后各种百度各种谷歌,得到的网上解答给出了以下的建议 1、清缓存: 用了,我把所有的Cache下的文件都删掉了,并将~app.php和~runtime.php两个文件同时都删掉了,但是没有效果。 2、将TOKEN_ON参数设置为FALSE: 试过了,但是也不行,虽然不提示表单令牌错误了,但是
tp表单的提交与验证
weixin_30677073的博客
07-30 197
一、控制器如下 引用use app\index\model\User; //注意模型类名不能和控制器类名相同 public function index(){ return $this->fetch('index');//显示模版}public function add()//添加数据{ $user=new User;  //allowField过滤无用的字符串 ...
thinkphp框架原理
最新发布
05-27
ThinkPHP框架是一款基于MVC模式的开源PHP框架,采用面向对象的编程思想。其原理可以归纳为以下几点: 1. MVC模式 ThinkPHP框架采用MVC模式,即Model-View-Controller模式。MVC模式将应用程序分为三个部分:模型、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值