ThinkPHP下表单令牌错误分析

最新推荐文章于 2023-09-26 08:39:02 发布
最新推荐文章于 2023-09-26 08:39:02 发布
阅读量8.9k 收藏 1
点赞数
分类专栏: ThinkPHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/molaifeng/article/details/44412155
版权

        在项目的开发过程中,添加、编辑数据时偶尔会遇到系统提示的“表单令牌错误”,一开始没怎么在意,直到今天下午QA把此问题提到bug系统了,正好时间也有空余,就追着TP3.13的源码看了下去,几分钟后,便知道原委了。


        在项目中开启表单令牌,通常要在配置文件中做如下配置

// 是否开启令牌验证
'TOKEN_ON' => true, 
// 令牌验证的表单隐藏字段名称
'TOKEN_NAME' => '__hash__',
//令牌哈希验证规则 默认为MD5
'TOKEN_TYPE' => 'md5',
//令牌验证出错后是否重置令牌 默认为true
'TOKEN_RESET' => true

        以编辑数据为例,通常在服务端有个Model写上字段过滤规则,Action写上数据检测的代码,如 

$table = D('table');
if(!$table->create()){
    exit($this->error($table->getError()));
}

        这时在IDE上双击create()定位到TP框架中Model.class.php中的create方法 

/**
* 创建数据对象 但不保存到数据库
* @access public
* @param mixed $data 创建数据
* @param string $type 状态
* @return mixed
*/
public function create($data='',$type='') {

    ……省略……
    // 表单令牌验证
    if(!$this->autoCheckToken($data)) {
        $this->error = L('_TOKEN_ERROR_');
        return false;
    }
    ……省略……
}

        看到代码会理解当autoCheckToken方法检测失败时会报错,那么就接着跟踪此方法 

// 自动表单令牌验证
// TODO  ajax无刷新多次提交暂不能满足
public function autoCheckToken($data) {
    // 支持使用token(false) 关闭令牌验证
    // 如果在Action写了D方法,但没有对应的Model文件,那么$this->options为空
    if(isset($this->options['token']) && !$this->options['token']) return true;
    if(C('TOKEN_ON')){
        $name   = C('TOKEN_NAME');
        if(!isset($data[$name]) || !isset($_SESSION[$name])) { // 令牌数据无效
            return false;
        }

        // 令牌验证
        list($key,$value)  =  explode('_',$data[$name]);
        if($value && $_SESSION[$name][$key] === $value) { // 防止重复提交
            unset($_SESSION[$name][$key]); // 验证完成销毁session
            return true;
        }
        // 开启TOKEN重置
        if(C('TOKEN_RESET')) unset($_SESSION[$name][$key]);
        return false;
    }
    return true;
}

        看了这段代码,会发现第一个判断中有$_SESSION[$name],那么这个seesion变量时从哪里过来的呢,这还得从生成令牌时说起,定位TokenBuildBehavior.class.php文件 

// 创建表单令牌
private function buildToken() {
    $tokenName  = C('TOKEN_NAME');
    $tokenType  = C('TOKEN_TYPE');
    if(!isset($_SESSION[$tokenName])) {
        $_SESSION[$tokenName]  = array();
    }
    // 标识当前页面唯一性
    $tokenKey   =  md5($_SERVER['REQUEST_URI']);
    if(isset($_SESSION[$tokenName][$tokenKey])) {// 相同页面不重复生成session
        $tokenValue = $_SESSION[$tokenName][$tokenKey];
    }else{
        $tokenValue = $tokenType(microtime(TRUE));
        $_SESSION[$tokenName][$tokenKey]   =  $tokenValue;
    }
    $token      =  '<input type="hidden" name="'.$tokenName.'" value="'.$tokenKey.'_'.$tokenValue.'" />';
    return $token;
}
        此段代码主要是在TP开启表单验证的情况下,以TOKEN_NAME和当前URI的md5为健生成令牌值,再在用户提交表单时,先验证下是否存在该session,没有则返回false,有则紧接着和表单字段TOKEN_NAME验证下,如果一致先删除此session(作用时避免下次提交出先表单令牌错误),返回ture,否则返回false。


        ok,回到主题,TP下表单提交之所以会出现令牌错误,那么就只有两种可能

  1. 在令牌开启的状态下,提交的表单中,没有TOKEN_NAME字段或是没有相应session(当前提交表单环境下,没有生成相应session,这个主要是在用户提交后报错用户紧接着又刷新当前页面,同时编辑页面和展示页面是在同一个方法里)
  2. 有session变量,但前后值不一样

        我们项目之所以出现此错误,可以看看下面配置

return array (
    'TOKEN_ON' => 'false',
    'TOKEN_NAME' => '__hash__',
    'TOKEN_TYPE' => 'md5',
    'TOKEN_RESET' => 'true',
    'DB_FIELDTYPE_CHECK' => 'true'
);


        本来应该写成布尔值的false,不知道哪位大侠任性的写成字符串的false了,那么判断时当然会按开启表单令牌的逻辑来,而且项目中,添加、编辑和展示都是同一个方法,一旦验证出错,一般程序处理逻辑会返回原有的界面,那么就和上次是同一个表单了,连续提交同一个表单也就相当于重复提交,那么便会报“表单令牌错误”。








ThinkPHP5.1表单令牌Token失效问题的解决
10-17
主要给大家介绍了关于ThinkPHP5.1表单令牌Token失效问题的解决方法,文中通过示例代码介绍的非常详细,对大家学习或者使用ThinkPHP具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
关于ThinkPHP表单令牌错误的相关解决办法
热门推荐
攀爬蜗牛-dutycode.com
03-07 1万+
今天在用ThinkPHP做程序的时候,以前用create创建数据的时候,出现了错误提示“表单令牌错误”,然后各种百度各种谷歌,得到的网上解答给出了以下的建议 1、清缓存: 用了,我把所有的Cache下的文件都删掉了,并将~app.php和~runtime.php两个文件同时都删掉了,但是没有效果。 2、将TOKEN_ON参数设置为FALSE: 试过了,但是也不行,虽然不提示表单令牌错误了,但是
ThinkPHP表单令牌错误与解决方法分析
12-19
本文实例讲述了ThinkPHP表单令牌错误与解决方法。分享给大家供大家参考,具体如下: 在项目的开发过程中,添加、编辑数据时偶尔会遇到系统提示的“表单令牌错误”,一开始没怎么在意,直到今天下午QA把此问题提到bug系统了,正好时间也有空余,就追着TP3.13的源码看了下去,几分钟后,便知道原委了。 在项目中开启表单令牌,通常要在配置文件中做如下配置 // 是否开启令牌验证 'TOKEN_ON' => true, // 令牌验证的表单隐藏字段名称 'TOKEN_NAME' => '__hash__', //令牌哈希验证规则 默认为MD5 'TOKEN_TYPE' => 'md5', //令牌
tp5令牌数据无效 解决方法
程序员大柱
07-07 2041
按照官方的写法,我怎么都是提示令牌数据无效 令牌数据无效: 图片.png 最后各种资料查,最终解决办法如下: //html <form action="" method="post"> <a href="">Version:{$Think.version}</a><br> <input type="text" name...
ThinkPHP表单令牌错误的相关解决方法分析
10-22
在处理ThinkPHP表单令牌错误时,开发者通常会遇到几种常见情况及其对应的解决方法。首先,错误提示“表单令牌错误”可能是因为令牌验证没有通过。根据网络上的建议,开发人员首先尝试清空缓存,包括删除Cache目录下...
thinkphp表单令牌错误的解决方法
YoungerChen的专栏
10-26 3395
<br />把 {__NOTOKEN__} 加到模板里就行了. <br /><br /> 令牌验证 <br /> ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护。 <br /><br /> 表单令牌验证相关的配置参数有: <br /><br /> 'TOKEN_ON'=>true,  // 是否开启令牌验证 <br /><br /> 'TOKEN_NAME'=>'__hash__',    // 令牌验证的表单隐藏字段名称 <br /><br />
Thinkphp validate令牌校验
heySister
12-08 392
记录 一个小问题。 Thinkphp令牌使用方式是: 前端表单添加<input type="hidden" name="__token__" value="{$Request.token}" /> 后端添加规则$validate = ['__token__' => 'token'] $data = ['__token__' => Request::param('__token__', 'post')] 后端校验$validate->check($data) 代码正确的情况
关闭php令牌验证失败,ThinkPHP自动验证失败及解决方法
weixin_33111267的博客
03-24 213
今天用ThinkPHP做后台登陆页面的时候,为了捡个便宜, 使用ThinkPHP的自动验证功能,之前还正常,后面就出现自动验证不通过了.搞了半天没反应,这会加了段没用的代码, 结果又通过了.1.[代码]Action 事件/** 登陆*/public function Login(){if($_POST['submit']){$DB = D('Login');//自定义Model处理//if里面就是...
php表单令牌,ThinkPHP表单令牌错误与解决方法分析
weixin_39607473的博客
03-10 425
本文实例讲述了ThinkPHP表单令牌错误与解决方法。分享给大家供大家参考,具体如下:在项目的开发过程中,添加、编辑数据时偶尔会遇到系统提示的“表单令牌错误”,一开始没怎么在意,直到今天下午QA把此问题提到bug系统了,正好时间也有空余,就追着TP3.13的源码看了下去,几分钟后,便知道原委了。在项目中开启表单令牌,通常要在配置文件中做如下配置// 是否开启令牌验证'TOKEN_ON' =&gt...
thinkphp 表单令牌错误解决方法,去掉部分表单令牌验证
YFCMS博客
04-05 2625
禁用 tp的令牌验证, 只要配置 'TOKEN_ON'=>false, 就可以了。 与令牌相关的配置有: 'TOKEN_ON'=>true, // 是否开启令牌验证 'TOKEN_NAME'=>'__hash__', // 令牌验证的表单隐藏字段名称 'TOKEN_TYPE'=>'md5', //令牌哈希验证规则 默认为MD5 'TOK
Thinkphp表单令牌错误
weixin_33725272的博客
11-21 119
今天发现了一个很有意思的事情,就是打开子窗口时改变了 __hash__ 值,因为子窗口当中有表单 //+--------------------------------------------------- //| 打开模式窗口,返回新窗口的操作值 //+--------------------------------------------------- function ...
php表单令牌,ThinkPHP表单令牌错误的相关解决方法分析
weixin_42484898的博客
03-10 329
本文分析ThinkPHP表单令牌错误的相关解决方法。分享给大家供大家参考,具体如下:今天在用ThinkPHP做程序的时候,以前用create创建数据的时候,出现了错误提示“表单令牌错误”,然后各种百度各种谷歌,得到的网上解答给出了以下的建议1、清缓存: 用了,我把所有的Cache下的文件都删掉了,并将~app.php和~runtime.php两个文件同时都删掉了,但是没有效果。2、将TOKEN_...
tp表单令牌ajax不友好,ThinkPHP5.1表单令牌Token失效问题的解决
weixin_29533307的博客
08-06 567
前言ThinkPHP出于安全的考虑增加了表单令牌Token,由于通过Ajax异步更新数据仅仅部分页面刷新数据,就导致了令牌Token不能得到更新,紧接着的第二次新建或更新数据(提交表单时)失败——不能通过令牌的验证。当然了,最简单的办法就是刷新整个页面,就导致了异步刷新的无意义!在网上搜寻了很多,有好几种方法;看完觉得有一个最好:Ajax异步动态请求创建新令牌并更新到本地主要思路:在每次发送表单结...
thinkPHP5小bug之表单令牌
SchopenhauerZhang的博客
05-05 2209
网站前端的信息中是不安全的,所以后端需要时刻检查前端的信息,比如信息是否来自本网站的页面。这就需要表单令牌了。当然您可以说检查url,但是可以伪造header啊。 而在tp5的官方文档中,表单令牌的这部分写的有些不严谨,在此提出个人的小建议。
ThinkPHP Token验证失败的解决方法
最新发布
MquaDevops的博客
09-26 545
首先,检查Token的设置是否正确,包括配置文件和表单中的代码。最后,确保Token的生成和验证过程没有问题。通过以上方法,你可以解决ThinkPHP中Token验证失败的问题,并提高应用的安全性。然而,有时候在使用ThinkPHP的过程中,可能会遇到Token验证失败的问题。在ThinkPHP中,Token验证是在请求处理的过滤器(Filter)中完成的。在ThinkPHP中,Token值的生成和验证是自动完成的,无需手动编写代码。当我们在表单中使用Token验证时,需要在表单中添加Token字段。
ThinkPHP无法自动生成表单令牌问题
云舒编程的博客
10-17 1031
1.首先确定config.php文件有没有配置正确 'TOKEN_ON' => true,// 开启令牌验证 'TOKEN_NAME' => '__hash__', 'TOKEN_TYPE' => 'md5', 'TOKEN_RESET' => true,2.确定你的html里面有<form>...</form>标签一般,以上成功了之后,如果一个页面只有一个表单的话就不
ThinkPHP3.1表单令牌安全机制详解
"ThinkPHP3.1完全开发手册,章节涵盖安全、表单令牌验证功能" 在ThinkPHP3.1框架中,安全是项目开发的重要一环。本章节主要讲解了如何通过表单令牌来增强Web应用的安全性,防止如重复提交等潜在风险。表单令牌是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值