ThinkPHP下表單令牌錯(cuò)誤與解決方法分析
本文實(shí)例講述了ThinkPHP下表單令牌錯(cuò)誤與解決方法。分享給大家供大家參考,具體如下:
在項(xiàng)目的開發(fā)過(guò)程中,添加、編輯數(shù)據(jù)時(shí)偶爾會(huì)遇到系統(tǒng)提示的“表單令牌錯(cuò)誤”,一開始沒(méi)怎么在意,直到今天下午QA把此問(wèn)題提到bug系統(tǒng)了,正好時(shí)間也有空余,就追著TP3.13的源碼看了下去,幾分鐘后,便知道原委了。
在項(xiàng)目中開啟表單令牌,通常要在配置文件中做如下配置
// 是否開啟令牌驗(yàn)證 'TOKEN_ON' => true, // 令牌驗(yàn)證的表單隱藏字段名稱 'TOKEN_NAME' => '__hash__', //令牌哈希驗(yàn)證規(guī)則 默認(rèn)為MD5 'TOKEN_TYPE' => 'md5', //令牌驗(yàn)證出錯(cuò)后是否重置令牌 默認(rèn)為true 'TOKEN_RESET' => true
以編輯數(shù)據(jù)為例,通常在服務(wù)端有個(gè)Model寫上字段過(guò)濾規(guī)則,Action寫上數(shù)據(jù)檢測(cè)的代碼,如
$table = D('table'); if(!$table->create()){ exit($this->error($table->getError())); }
這時(shí)在IDE上雙擊create()定位到TP框架中Model.class.php中的create方法
/** * 創(chuàng)建數(shù)據(jù)對(duì)象 但不保存到數(shù)據(jù)庫(kù) * @access public * @param mixed $data 創(chuàng)建數(shù)據(jù) * @param string $type 狀態(tài) * @return mixed */ public function create($data='',$type='') { ……省略…… // 表單令牌驗(yàn)證 if(!$this->autoCheckToken($data)) { $this->error = L('_TOKEN_ERROR_'); return false; } ……省略…… }
看到代碼會(huì)理解當(dāng)autoCheckToken方法檢測(cè)失敗時(shí)會(huì)報(bào)錯(cuò),那么就接著跟蹤此方法
// 自動(dòng)表單令牌驗(yàn)證 // TODO ajax無(wú)刷新多次提交暫不能滿足 public function autoCheckToken($data) { // 支持使用token(false) 關(guān)閉令牌驗(yàn)證 // 如果在Action寫了D方法,但沒(méi)有對(duì)應(yīng)的Model文件,那么$this->options為空 if(isset($this->options['token']) && !$this->options['token']) return true; if(C('TOKEN_ON')){ $name = C('TOKEN_NAME'); if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌數(shù)據(jù)無(wú)效 return false; } // 令牌驗(yàn)證 list($key,$value) = explode('_',$data[$name]); if($value && $_SESSION[$name][$key] === $value) { // 防止重復(fù)提交 unset($_SESSION[$name][$key]); // 驗(yàn)證完成銷毀session return true; } // 開啟TOKEN重置 if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]); return false; } return true; }
看了這段代碼,會(huì)發(fā)現(xiàn)第一個(gè)判斷中有$_SESSION[$name],那么這個(gè)seesion變量時(shí)從哪里過(guò)來(lái)的呢,這還得從生成令牌時(shí)說(shuō)起,定位TokenBuildBehavior.class.php文件
// 創(chuàng)建表單令牌 private function buildToken() { $tokenName = C('TOKEN_NAME'); $tokenType = C('TOKEN_TYPE'); if(!isset($_SESSION[$tokenName])) { $_SESSION[$tokenName] = array(); } // 標(biāo)識(shí)當(dāng)前頁(yè)面唯一性 $tokenKey = md5($_SERVER['REQUEST_URI']); if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同頁(yè)面不重復(fù)生成session $tokenValue = $_SESSION[$tokenName][$tokenKey]; }else{ $tokenValue = $tokenType(microtime(TRUE)); $_SESSION[$tokenName][$tokenKey] = $tokenValue; } $token = '<input type="hidden" name="'.$tokenName.'" value="'.$tokenKey.'_'.$tokenValue.'" />'; return $token; }
此段代碼主要是在TP開啟表單驗(yàn)證的情況下,以TOKEN_NAME和當(dāng)前URI的md5為健生成令牌值,再在用戶提交表單時(shí),先驗(yàn)證下是否存在該session,沒(méi)有則返回false,有則緊接著和表單字段TOKEN_NAME驗(yàn)證下,如果一致先刪除此session(作用時(shí)避免下次提交出先表單令牌錯(cuò)誤),返回ture,否則返回false。
ok,回到主題,TP下表單提交之所以會(huì)出現(xiàn)令牌錯(cuò)誤,那么就只有兩種可能
1. 在令牌開啟的狀態(tài)下,提交的表單中,沒(méi)有TOKEN_NAME字段或是沒(méi)有相應(yīng)session(當(dāng)前提交表單環(huán)境下,沒(méi)有生成相應(yīng)session,這個(gè)主要是在用戶提交后報(bào)錯(cuò)用戶緊接著又刷新當(dāng)前頁(yè)面,同時(shí)編輯頁(yè)面和展示頁(yè)面是在同一個(gè)方法里)
2. 有session變量,但前后值不一樣
我們項(xiàng)目之所以出現(xiàn)此錯(cuò)誤,可以看看下面配置
return array ( 'TOKEN_ON' => 'false', 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => 'true', 'DB_FIELDTYPE_CHECK' => 'true' );
本來(lái)應(yīng)該寫成布爾值的false,不知道哪位大俠任性的寫成字符串的false了,那么判斷時(shí)當(dāng)然會(huì)按開啟表單令牌的邏輯來(lái),而且項(xiàng)目中,添加、編輯和展示都是同一個(gè)方法,一旦驗(yàn)證出錯(cuò),一般程序處理邏輯會(huì)返回原有的界面,那么就和上次是同一個(gè)表單了,連續(xù)提交同一個(gè)表單也就相當(dāng)于重復(fù)提交,那么便會(huì)報(bào)“表單令牌錯(cuò)誤”。
更多關(guān)于thinkPHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題:《ThinkPHP入門教程》、《thinkPHP模板操作技巧總結(jié)》、《ThinkPHP常用方法總結(jié)》、《codeigniter入門教程》、《CI(CodeIgniter)框架進(jìn)階教程》、《Zend FrameWork框架入門教程》及《PHP模板技術(shù)總結(jié)》。
希望本文所述對(duì)大家基于ThinkPHP框架的PHP程序設(shè)計(jì)有所幫助。
- 讓whoops幫我們告別ThinkPHP6的異常頁(yè)面
- Thinkphp 在api開發(fā)中異常返回依然是html的解決方式
- 解決thinkphp5未定義變量會(huì)拋出異常,頁(yè)面錯(cuò)誤,請(qǐng)稍后再試的問(wèn)題
- 關(guān)于ThinkPHP中的異常處理詳解
- thinkPHP線上自動(dòng)加載異常與修復(fù)方法實(shí)例分析
- ThinkPHP中自定義錯(cuò)誤頁(yè)面和提示頁(yè)面實(shí)例
- TP5(thinkPHP5框架)實(shí)現(xiàn)顯示錯(cuò)誤信息及行號(hào)功能的方法
- ThinkPHP表單令牌錯(cuò)誤的相關(guān)解決方法分析
- thinkPHP自動(dòng)驗(yàn)證、自動(dòng)添加及表單錯(cuò)誤問(wèn)題分析
- ThinkPHP3.2.3框架實(shí)現(xiàn)的空模塊、空控制器、空操作,跳轉(zhuǎn)到錯(cuò)誤404頁(yè)面圖文詳解
- Thinkphp5框架異常處理操作實(shí)例分析
相關(guān)文章
解決在laravel中auth建立時(shí)候遇到的問(wèn)題
今天小編就為大家分享一篇解決在laravel中auth建立時(shí)候遇到的問(wèn)題,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧2019-10-10淺談PHP array_search 和 in_array 函數(shù)效率問(wèn)題
這篇文章主要介紹了淺談PHP array_search 和 in_array 函數(shù)效率問(wèn)題,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧2019-10-10PHP中的日期時(shí)間處理利器實(shí)例(Carbon)
本篇文章主要介紹了PHP中的日期時(shí)間處理利器實(shí)例(Carbon),具有一定的參考價(jià)值,有興趣的可以了解一下2017-06-06thinkphp3.x中display方法及show方法的用法實(shí)例
這篇文章主要介紹了thinkphp3.x中display方法及show方法的用法,結(jié)合實(shí)例形式分析了thinkPHP3.x模板的功能、定義、賦值、渲染及輸出等技巧,需要的朋友可以參考下2016-05-05