php 重复提交 刷新 直接访问

本文介绍如何使用PHP防止用户通过直接访问页面、刷新页面和重复提交表单进行恶意操作。包括使用`INIT_PHPV`标识、COOKIE、SESSION以及设置最大刷新间隔时间等方法来确保网站安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防止  直接访问PHP页面,只能引用!
A页面:
Java代码   收藏代码
  1. define('INIT_PHPV'true); //定义 INIT_PHPV 为 true  
  2. require 'b.php';  //引用b页面   
B页面:
Java代码   收藏代码
  1. !defined('INIT_PHPV') && die('非法操作!请与管理员联系!');  
这样就不能直接访问B页面了。也可以在A加COOKIE,B判断COOKIE后用完删掉COOKIE
 
防止刷新模块 
所以就考虑增加一个参数来防止这类情况的发生,COOKIE和SESSION可供选择,不过 COOKIE是客户端的,如果人家禁用COOKIE的话,照样可以恶意刷新点击数。还是用SESSION的好,IP+URL参数的MD5值做 SESSION名,我想大家也不好伪造了吧. 
实现原理 设置 max_reloadtime =100; //设置页面刷新最长间隔时间
用户第一次打开页面 记录当前的时间保存在 session_start
用户第二次打开页面(判断 session_start是否存在) 用当前时间和 session_start 相减 得到差值 time_passed
当 time_passed < max_reloadtime 表示用户在指定时间内频繁刷新了 警告后直接退出
Java代码   收藏代码
  1. <?php  
  2. session_start();  
  3. $k = $_GET['k'];  
  4. $t = $_GET['t'];  
  5. //防刷新时间  
  6. $allowTime = 1800;  
  7. $ip = get_client_ip();  
  8. $allowT = md5($ip . $k . $t);  
  9. if (!isset($_SESSION[$allowT])) {  
  10.     $refresh = true;  
  11.     $_SESSION[$allowT] = time();  
  12. } elseif (time() - $_SESSION[$allowT] > $allowTime) {  
  13.     $refresh = true;  
  14.     $_SESSION[$allowT] = time();  
  15. else {  
  16.     $refresh = false;  
  17. }  
  18. ?>   

防重复提交

首先,我们可以定义一个session变量用来保存一个表单的提交序列号。这里我定义为“$userLastAction”。然后在表单里加入一个 hidden变量,把值设为$userLastAction+1: 
<input type=Hidden name=lastAction value=<? =$userLastAction+1 ?>> 
最后,在处理提交之前判断表单是否已被提交过: 
if($lastAction>$userLastAction and inputIsValid(…)){ 
$userLastAction++; // 序列号加1 
// 处理表单数据 
}


Java代码   收藏代码
  1. 提交页面:  
  2. <?  
  3. $_SESSION['code']=mt_rand(1,1000);//生成1到1000之间的随机器数  
  4. ?>  
  5. <form>  
  6. <input type="hidden" name="scode" value="<?php echo $_SESSION['code']?>" />  
  7. </form>  
  8.   
  9. 被提交页面:  
  10. if($_SESSION['code']!=$_REQUEST['scode']){  
  11.     echo "请不要重复提交";  
  12.    exit;  
  13. }  
  14. $_SESSION['code']=0  
 

 

Java代码   收藏代码
  1. <?php    
  2. /* 改进版 
  3. PHP防止用户刷新页面(Refresh or Reload),重复提交表单内容。 
  4. 由于表单变量的内容由$_POST['name']引用,也许在处理完表单后,直接将$_POST['name']销毁(unset())即可。其实不然。可能由于页面默认对表单内容进行了缓存,所以,即使销毁了$_POST['name'],刷新后,$_POST['name']还是会被赋值,一样有效。   
  5. 可利用Session解决。首先给Session赋个值,比如400,第一次提交成功后改变Session的值,当第二次提交时去检查这个Session 的值,如果不是400,就不再处理表单中的数据。 
  6. 可设置Session的有效时间?    
  7. */  
  8. if (isset($_POST['action']) && $_POST['action'] == ’submitted’) {       
  9.       session_start();       
  10.       isset($_SESSION['num']) or die ("no session");       
  11.       if ($_SESSION['num']==400){       
  12.               print ‘<pre>’;       
  13.               print_r($_POST);       
  14.               print ‘<a href="’. $_SERVER['PHP_SELF'] .’">Please try again</a>’;       
  15.               print ‘</pre>’;       
  16.               $_SESSION['num']=500;       
  17.       } else {       
  18.               print ‘<pre>’;       
  19.               print_r($_POST);       
  20.               echo "However you have submitted";       
  21.               print ‘</pre>’;       
  22.       }       
  23. else {       
  24.       session_start() or die("session is not started");       
  25.       $_SESSION['num']= 400;        
  26. ?>      
  27. <form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="POST">      
  28. Name: <input type="text" name="personal[name]"><br>      
  29. Email: <input type="text" name="personal[email]"><br>      
  30. Beer: <br>      
  31. <select multiple name="beer[]">      
  32.       <option value="warthog">Warthog</option>      
  33.       <option value="guinness">Guinness</option>      
  34.       <option value="stuttgarter">Stuttgarter Schwabenbr</option>    
  35. </select><br>      
  36. <input type="hidden" name="action" value="submitted">      
  37. <input type="submit" name="submit" value="submit me!">      
  38. </form>      
  39. <?php      
  40. }       
  41. ?>  
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值