ThinkPHP下表單令牌錯誤與解決方法分析
本文實(shí)例講述了ThinkPHP下表單令牌錯誤與解決方法。分享給大家供大家參考,具體如下:
在項(xiàng)目的開發(fā)過程中,添加、編輯數(shù)據(jù)時偶爾會遇到系統(tǒng)提示的“表單令牌錯誤”,一開始沒怎么在意,直到今天下午QA把此問題提到bug系統(tǒng)了,正好時間也有空余,就追著TP3.13的源碼看了下去,幾分鐘后,便知道原委了。
在項(xiàng)目中開啟表單令牌,通常要在配置文件中做如下配置
// 是否開啟令牌驗(yàn)證 'TOKEN_ON' => true, // 令牌驗(yàn)證的表單隱藏字段名稱 'TOKEN_NAME' => '__hash__', //令牌哈希驗(yàn)證規(guī)則 默認(rèn)為MD5 'TOKEN_TYPE' => 'md5', //令牌驗(yàn)證出錯后是否重置令牌 默認(rèn)為true 'TOKEN_RESET' => true
以編輯數(shù)據(jù)為例,通常在服務(wù)端有個Model寫上字段過濾規(guī)則,Action寫上數(shù)據(jù)檢測的代碼,如
$table = D('table'); if(!$table->create()){ exit($this->error($table->getError())); }
這時在IDE上雙擊create()定位到TP框架中Model.class.php中的create方法
/** * 創(chuàng)建數(shù)據(jù)對象 但不保存到數(shù)據(jù)庫 * @access public * @param mixed $data 創(chuàng)建數(shù)據(jù) * @param string $type 狀態(tài) * @return mixed */ public function create($data='',$type='') { ……省略…… // 表單令牌驗(yàn)證 if(!$this->autoCheckToken($data)) { $this->error = L('_TOKEN_ERROR_'); return false; } ……省略…… }
看到代碼會理解當(dāng)autoCheckToken方法檢測失敗時會報錯,那么就接著跟蹤此方法
// 自動表單令牌驗(yàn)證 // TODO ajax無刷新多次提交暫不能滿足 public function autoCheckToken($data) { // 支持使用token(false) 關(guān)閉令牌驗(yàn)證 // 如果在Action寫了D方法,但沒有對應(yīng)的Model文件,那么$this->options為空 if(isset($this->options['token']) && !$this->options['token']) return true; if(C('TOKEN_ON')){ $name = C('TOKEN_NAME'); if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌數(shù)據(jù)無效 return false; } // 令牌驗(yàn)證 list($key,$value) = explode('_',$data[$name]); if($value && $_SESSION[$name][$key] === $value) { // 防止重復(fù)提交 unset($_SESSION[$name][$key]); // 驗(yàn)證完成銷毀session return true; } // 開啟TOKEN重置 if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]); return false; } return true; }
看了這段代碼,會發(fā)現(xiàn)第一個判斷中有$_SESSION[$name],那么這個seesion變量時從哪里過來的呢,這還得從生成令牌時說起,定位TokenBuildBehavior.class.php文件
// 創(chuàng)建表單令牌 private function buildToken() { $tokenName = C('TOKEN_NAME'); $tokenType = C('TOKEN_TYPE'); if(!isset($_SESSION[$tokenName])) { $_SESSION[$tokenName] = array(); } // 標(biāo)識當(dāng)前頁面唯一性 $tokenKey = md5($_SERVER['REQUEST_URI']); if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同頁面不重復(fù)生成session $tokenValue = $_SESSION[$tokenName][$tokenKey]; }else{ $tokenValue = $tokenType(microtime(TRUE)); $_SESSION[$tokenName][$tokenKey] = $tokenValue; } $token = '<input type="hidden" name="'.$tokenName.'" value="'.$tokenKey.'_'.$tokenValue.'" />'; return $token; }
此段代碼主要是在TP開啟表單驗(yàn)證的情況下,以TOKEN_NAME和當(dāng)前URI的md5為健生成令牌值,再在用戶提交表單時,先驗(yàn)證下是否存在該session,沒有則返回false,有則緊接著和表單字段TOKEN_NAME驗(yàn)證下,如果一致先刪除此session(作用時避免下次提交出先表單令牌錯誤),返回ture,否則返回false。
ok,回到主題,TP下表單提交之所以會出現(xiàn)令牌錯誤,那么就只有兩種可能
1. 在令牌開啟的狀態(tài)下,提交的表單中,沒有TOKEN_NAME字段或是沒有相應(yīng)session(當(dāng)前提交表單環(huán)境下,沒有生成相應(yīng)session,這個主要是在用戶提交后報錯用戶緊接著又刷新當(dāng)前頁面,同時編輯頁面和展示頁面是在同一個方法里)
2. 有session變量,但前后值不一樣
我們項(xiàng)目之所以出現(xiàn)此錯誤,可以看看下面配置
return array ( 'TOKEN_ON' => 'false', 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => 'true', 'DB_FIELDTYPE_CHECK' => 'true' );
本來應(yīng)該寫成布爾值的false,不知道哪位大俠任性的寫成字符串的false了,那么判斷時當(dāng)然會按開啟表單令牌的邏輯來,而且項(xiàng)目中,添加、編輯和展示都是同一個方法,一旦驗(yàn)證出錯,一般程序處理邏輯會返回原有的界面,那么就和上次是同一個表單了,連續(xù)提交同一個表單也就相當(dāng)于重復(fù)提交,那么便會報“表單令牌錯誤”。
更多關(guān)于thinkPHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題:《ThinkPHP入門教程》、《thinkPHP模板操作技巧總結(jié)》、《ThinkPHP常用方法總結(jié)》、《codeigniter入門教程》、《CI(CodeIgniter)框架進(jìn)階教程》、《Zend FrameWork框架入門教程》及《PHP模板技術(shù)總結(jié)》。
希望本文所述對大家基于ThinkPHP框架的PHP程序設(shè)計有所幫助。
- 讓whoops幫我們告別ThinkPHP6的異常頁面
- Thinkphp 在api開發(fā)中異常返回依然是html的解決方式
- 解決thinkphp5未定義變量會拋出異常,頁面錯誤,請稍后再試的問題
- 關(guān)于ThinkPHP中的異常處理詳解
- thinkPHP線上自動加載異常與修復(fù)方法實(shí)例分析
- ThinkPHP中自定義錯誤頁面和提示頁面實(shí)例
- TP5(thinkPHP5框架)實(shí)現(xiàn)顯示錯誤信息及行號功能的方法
- ThinkPHP表單令牌錯誤的相關(guān)解決方法分析
- thinkPHP自動驗(yàn)證、自動添加及表單錯誤問題分析
- ThinkPHP3.2.3框架實(shí)現(xiàn)的空模塊、空控制器、空操作,跳轉(zhuǎn)到錯誤404頁面圖文詳解
- Thinkphp5框架異常處理操作實(shí)例分析
相關(guān)文章
淺談PHP array_search 和 in_array 函數(shù)效率問題
這篇文章主要介紹了淺談PHP array_search 和 in_array 函數(shù)效率問題,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2019-10-10thinkphp3.x中display方法及show方法的用法實(shí)例
這篇文章主要介紹了thinkphp3.x中display方法及show方法的用法,結(jié)合實(shí)例形式分析了thinkPHP3.x模板的功能、定義、賦值、渲染及輸出等技巧,需要的朋友可以參考下2016-05-05