防止form表單重複提交的八種方法
表單重複提交是在多使用者Web應用中最常見、帶來很多麻煩的一個問題。有很多的應用場景都會遇到重複提交問題,比如:
(1)點選提交按鈕兩次。
(2)點選重新整理按鈕。
(3)使用瀏覽器後退按鈕重複之前的操作,導致重複提交表單。
(4)使用瀏覽器歷史記錄重複提交表單。
(5)瀏覽器重複的HTTP請求。
(6)使用者提交表單時可能因為網速的原因,或者網頁被惡意重新整理,致使同一條記錄重複插入到資料庫中,這是一個比較棘手的問題。我們可以從客戶端和伺服器端一起著手,設法避免同一表單的重複提交。
下面幫客之家收集了8種常見的有效防止表單重複提交的方法:
1、js禁掉提交按鈕。
表單提交後使用Javascript使提交按鈕disable。這種方法防止心急的使用者多次點選按鈕。但有個問題,如果客戶端把Javascript給禁止掉,這種方法就無效了。
2、使用Post/Redirect/Get模式。
在提交後執行頁面重定向,這就是所謂的Post-Redirect-Get(PRG)模式。簡言之,當用戶提交了表單後,你去執行一個客戶端的重定向,轉到提交成功資訊頁面。
這能避免使用者按F5導致的重複提交,而其也不會出現瀏覽器表單重複提交的警告,也能消除按瀏覽器前進和後退按導致的同樣問題。
3、在session中存放一個特殊標誌。
當表單頁面被請求時,生成一個特殊的字元標誌串,存在session中,同時放在表單的隱藏域裡。接受處理表單資料時,檢查標識字串是否存在,並立即從session中刪除它,然後正常處理資料。
如果發現表單提交裡沒有有效的標誌串,這說明表單已經被提交過了,忽略這次提交。
這使你的web應用有了更高階的XSRF保護。
請見如下程式碼:
<?php
session_start();
//根據當前SESSION生成隨機數
$code = mt_rand(0,1000000);
$_SESSION['code'] = $code;
?>
在頁面表單上將隨機數作為隱藏值進行傳遞,程式碼如下:
<input type="hidden"name="originator" value="<?=$code?>">
在接收頁面的PHP程式碼如下:
<?php session_start(); if(isset($_POST['originator'])) { if($_POST['originator'] == $_SESSION['code']){ // 處理該表單的語句,省略 }else{ echo ‘請不要重新整理本頁面或重複提交表單!’; } } ?>
關於Session的內容,我們會在第10章“PHP會話管理”詳細討論,你可以直接查閱這一章,然後再返回本節繼續閱讀。
4.使用header函式轉向
除了上面的方法之外,還有一個更簡單的方法,那就是當用戶提交表單,伺服器端處理後立即轉向其他的頁面,程式碼如下所示。
if (isset($_POST['action']) &&$_POST['action'] == 'submitted') {
//處理資料,如插入資料後,立即轉向到其他頁面
header('location:submits_success.php');
}
這樣,即使使用者使用重新整理鍵,也不會導致表單的重複提交,因為已經轉向新的頁面,而這個頁面指令碼已經不理會任何提交的資料了。
5.表單過期的處理
在開發過程中,經常會出現表單出錯而返回頁面的時候填寫的資訊全部丟失的情況,為了支援頁面回跳,可以通過以下兩種方法實現。
(1)使用header頭設定快取控制頭Cache-control。
header('Cache-control: private, must-revalidate'); //支援頁面回跳
(2)使用session_cache_limiter方法。
session_cache_limiter('private, must-revalidate'); //要寫在session_start方法之前
下面的程式碼片斷可以防止使用者填寫表單的時候,單擊“提交”按鈕返回時,剛剛在表單上填寫的內容不會被清除:
session_cache_limiter('nocache');
session_cache_limiter('private');
session_cache_limiter('public');
session_start();
//以下是表單內容,這樣在使用者返回該表單時,已經填寫的內容不會被清空
將該段程式碼貼到所要應用的指令碼頂部即可。
Cache-Control訊息頭域說明
Cache-Control指定請求和響應遵循的快取機制。在請求訊息或響應訊息中設定Cache-Control並不會修改另一個訊息處理過程中的快取處理過程。
請求時的快取指令包括no-cache、no-store、max-age、max-stale、min-fresh和only-if-cached,響應訊息中的指令包括public、private、no-cache、no-store、no-transform、must-revalidate、proxy-revalidate和max-age。各個訊息中的指令含義如表5-3所示。
表5-3
快取指令 |
說 明 |
public |
指示響應可被任何快取區快取 |
private |
指示對於單個使用者的整個或部分響應訊息,不能被共享快取處理。這允許伺服器僅僅描述當用戶的部分響應訊息,此響應訊息對於其他使用者的請求無效 |
no-cache |
指示請求或響應訊息不能快取 |
no-store |
用於防止重要的資訊被無意的釋出。在請求訊息中傳送將使得請求和響應訊息都不使用快取 |
max-age |
指示客戶機可以接收生存期不大於指定時間(以秒為單位)的響應 |
min-fresh |
指示客戶機可以接收響應時間小於當前時間加上指定時間的響應 |
max-stale |
指示客戶機可以接收超出超時期間的響應訊息。如果指定max-stale訊息的值,那麼客戶機可以接收超出超時期指定值之內的響應訊息 |
有關Session和Cookie的介紹,詳細內容請參閱第10章“PHP會話管理”。
6.判斷表單動作的技巧
表單可以通過同一個程式來分配應該要處理的動作,在表單中有不同的邏輯,要怎麼判別使用者按下的按鈕內容不過是個小問題。
其實只要通過提交按鈕的name就可以知道了,表單在提交出去的時候,只有按下的submit型別的按鈕才會被送到表單陣列去,所以只要判斷按鈕的值就可以知道使用者按下哪一個按鈕,以如下表單為例:
<FORM method="POST" Action=test.php>
<inputtype=submit name="btn" value="a">
<inputtype=submit name="btn" value="b">
</FORM>
當使用者按下“a”按鈕的時候btn=a,按下“b”按鈕,則btn=b。
另外也可以通過提交按鈕的名字(name)來判斷,請見如下程式碼:
<FORM method="POST" Action=test.php>
<inputtype=submit name="a" value="提交A">
<inputtype=submit name="b" value="提交B">
</FORM>
這樣只要POST/GET的引數裡面有a或b,就可以知道按下的按鈕是哪個。
<?php
print_r($_POST);
?>
7、在資料庫裡新增約束。
在資料庫裡新增唯一約束或建立唯一索引,防止出現重複資料。這是最有效的防止重複提交資料的方法。
使用客戶端指令碼
提到客戶端指令碼,經常使用的是JavaScript進行常規輸入驗證。在下面的例子中,我們使用它處理表單的重複提交問題,請看下面的程式碼:
<form method="post"name="register" action="test.php"enctype="multipart/form-data">
<inputname="text" type="text" id="text" />
<inputname="cont" value="提交" type="button"onClick="document.register.cont.value='正在提交,請等待...';document.register.cont.disabled=true;document.the_form.submit();">
</form>
當用戶單擊“提交”按鈕後,該按鈕將變為灰色不可用狀態。
上面的例子中使用OnClick事件檢測使用者的提交狀態,如果單擊了“提交”按鈕,該按鈕立即置為失效狀態,使用者不能單擊按鈕再次提交。
8.使用Cookie處理
使用Cookie記錄表單提交的狀態,根據其狀態可以檢查是否已經提交表單,請見下面的程式碼:
<?php
if(isset($_POST['go'])){
setcookie("tempcookie","",time()+30);
header("Location:".$_SERVER[PHP_SELF]);
exit();
}
if(isset($_COOKIE["tempcookie"])){
setcookie("tempcookie","",0);
echo "您已經提交過表單";
}
?>