您好,登錄后才能下訂單哦!
小編給大家分享一下ThinkPHP下表單令牌錯(cuò)誤怎么辦,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!
具體如下:
在項(xiàng)目的開發(fā)過程中,添加、編輯數(shù)據(jù)時(shí)偶爾會(huì)遇到系統(tǒng)提示的“表單令牌錯(cuò)誤”,一開始沒怎么在意,直到今天下午QA把此問題提到bug系統(tǒng)了,正好時(shí)間也有空余,就追著TP3.13的源碼看了下去,幾分鐘后,便知道原委了。
在項(xiàng)目中開啟表單令牌,通常要在配置文件中做如下配置
// 是否開啟令牌驗(yàn)證 'TOKEN_ON' => true, // 令牌驗(yàn)證的表單隱藏字段名稱 'TOKEN_NAME' => '__hash__', //令牌哈希驗(yàn)證規(guī)則 默認(rèn)為MD5 'TOKEN_TYPE' => 'md5', //令牌驗(yàn)證出錯(cuò)后是否重置令牌 默認(rèn)為true 'TOKEN_RESET' => true
以編輯數(shù)據(jù)為例,通常在服務(wù)端有個(gè)Model寫上字段過濾規(guī)則,Action寫上數(shù)據(jù)檢測(cè)的代碼,如
$table = D('table'); if(!$table->create()){ exit($this->error($table->getError())); }
這時(shí)在IDE上雙擊create()定位到TP框架中Model.class.php中的create方法
/** * 創(chuàng)建數(shù)據(jù)對(duì)象 但不保存到數(shù)據(jù)庫 * @access public * @param mixed $data 創(chuàng)建數(shù)據(jù) * @param string $type 狀態(tài) * @return mixed */ public function create($data='',$type='') { ……省略…… // 表單令牌驗(yàn)證 if(!$this->autoCheckToken($data)) { $this->error = L('_TOKEN_ERROR_'); return false; } ……省略…… }
看到代碼會(huì)理解當(dāng)autoCheckToken方法檢測(cè)失敗時(shí)會(huì)報(bào)錯(cuò),那么就接著跟蹤此方法
// 自動(dòng)表單令牌驗(yàn)證 // TODO ajax無刷新多次提交暫不能滿足 public function autoCheckToken($data) { // 支持使用token(false) 關(guān)閉令牌驗(yàn)證 // 如果在Action寫了D方法,但沒有對(duì)應(yīng)的Model文件,那么$this->options為空 if(isset($this->options['token']) && !$this->options['token']) return true; if(C('TOKEN_ON')){ $name = C('TOKEN_NAME'); if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌數(shù)據(jù)無效 return false; } // 令牌驗(yàn)證 list($key,$value) = explode('_',$data[$name]); if($value && $_SESSION[$name][$key] === $value) { // 防止重復(fù)提交 unset($_SESSION[$name][$key]); // 驗(yàn)證完成銷毀session return true; } // 開啟TOKEN重置 if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]); return false; } return true; }
看了這段代碼,會(huì)發(fā)現(xiàn)第一個(gè)判斷中有$_SESSION[$name],那么這個(gè)seesion變量時(shí)從哪里過來的呢,這還得從生成令牌時(shí)說起,定位TokenBuildBehavior.class.php文件
// 創(chuàng)建表單令牌 private function buildToken() { $tokenName = C('TOKEN_NAME'); $tokenType = C('TOKEN_TYPE'); if(!isset($_SESSION[$tokenName])) { $_SESSION[$tokenName] = array(); } // 標(biāo)識(shí)當(dāng)前頁面唯一性 $tokenKey = md5($_SERVER['REQUEST_URI']); if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同頁面不重復(fù)生成session $tokenValue = $_SESSION[$tokenName][$tokenKey]; }else{ $tokenValue = $tokenType(microtime(TRUE)); $_SESSION[$tokenName][$tokenKey] = $tokenValue; } $token = '<input type="hidden" name="'.$tokenName.'" value="'.$tokenKey.'_'.$tokenValue.'" />'; return $token; }
此段代碼主要是在TP開啟表單驗(yàn)證的情況下,以TOKEN_NAME和當(dāng)前URI的md5為健生成令牌值,再在用戶提交表單時(shí),先驗(yàn)證下是否存在該session,沒有則返回false,有則緊接著和表單字段TOKEN_NAME驗(yàn)證下,如果一致先刪除此session(作用時(shí)避免下次提交出先表單令牌錯(cuò)誤),返回ture,否則返回false。
ok,回到主題,TP下表單提交之所以會(huì)出現(xiàn)令牌錯(cuò)誤,那么就只有兩種可能
1. 在令牌開啟的狀態(tài)下,提交的表單中,沒有TOKEN_NAME字段或是沒有相應(yīng)session(當(dāng)前提交表單環(huán)境下,沒有生成相應(yīng)session,這個(gè)主要是在用戶提交后報(bào)錯(cuò)用戶緊接著又刷新當(dāng)前頁面,同時(shí)編輯頁面和展示頁面是在同一個(gè)方法里)
2. 有session變量,但前后值不一樣
我們項(xiàng)目之所以出現(xiàn)此錯(cuò)誤,可以看看下面配置
return array ( 'TOKEN_ON' => 'false', 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => 'true', 'DB_FIELDTYPE_CHECK' => 'true' );
本來應(yīng)該寫成布爾值的false,不知道哪位大俠任性的寫成字符串的false了,那么判斷時(shí)當(dāng)然會(huì)按開啟表單令牌的邏輯來,而且項(xiàng)目中,添加、編輯和展示都是同一個(gè)方法,一旦驗(yàn)證出錯(cuò),一般程序處理邏輯會(huì)返回原有的界面,那么就和上次是同一個(gè)表單了,連續(xù)提交同一個(gè)表單也就相當(dāng)于重復(fù)提交,那么便會(huì)報(bào)“表單令牌錯(cuò)誤”。
以上是“ThinkPHP下表單令牌錯(cuò)誤怎么辦”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。