防止Ajax表单通过php使用表单令牌进行双重提交

时间:2018-07-17 01:28:34

标签: php jquery ajax forms session-variables

****更新****

我的代码似乎没有错;因为使用完全相同的代码创建新文档完全可行。因此,该文件可能以某种方式损坏。参见my answer below

我一生无法找到任何相关的问题。 基本上,我有一个审阅表,该审阅表通过Ajax发送到php进程页面。验证后,将数据插入mySQL数据库。 Ajax将信息(主要是错误)发送回用户。我需要一种方法来防止使用php在服务器端进行多次提交。

我尝试使用表单令牌,该令牌在没有Ajax的情况下可以使用,但不能与它一起使用。 $_SESSION似乎没有延续到表单处理php页面。

问题... $_SESSION['review_form_token']根本不保存任何数据。如果我在错误打印会话数据,它根本不打印任何内容!但是,我有一个使用会话的php验证码,它可以毫无问题地将其打印出来。当我将会话设置为页面加载时,它将按预期方式将令牌打印到隐藏的输入中。我不明白为什么表单令牌没有传递给表单过程。 session_start()在两个文档中。我尝试ob_start()无济于事。 请帮我调试一下。

这是我的简化设置...

index.php(在顶部):

<?php
session_start();
$reviewForm_token = md5(uniqid(rand(), true));
$_SESSION['review_form_token'] = $reviewForm_token;
?>

index.php-表单(某处)

<form id="reviewform" method="post" novalidate>
   <input type="text" class="form-control form-style name" name="firstname" size="15" maxlength="40" autocomplete="given-name">
   <input type="text" class="form-control form-style name" name="lastname" size="15" maxlength="40" autocomplete="family-name">                 
    <textarea class="form-control form-style" name="review" minlength="50" required></textarea>                 
    <input type="text" class="form-control form-style" name="captcha" autocomplete="off" maxlength="6" required>
    <img src="https://via.placeholder.com/200x60" id="captcha-review" alt="Review captcha image" width="200" height="60">

    <input type="hidden" name="form_token" value="<?php echo $_SESSION['review_form_token']; ?>">
    <button type="submit" name="submit" class="btn btn-primary submit float-right font">Send</button>
    <button type="reset" class="btn btn-primary reset font">Reset</button>
</form> <!-- End form -->

index.php-Ajax(在文档底部)

$('#reviewform').submit(function(event) {
// Set some variables
var $this = this,
    firstnameInput = $('input[name=firstname]', $this),
    lastnameInput = $('input[name=lastname]', $this),
    nameInput = $('input.name', $this),
    ratingInput = $('input[name=StarRating]', $this),
    ratingInputChecked = $('input[name=StarRating]:checked', $this),
    stars = $('.star-rating', $this),
    reviewInput = $('textarea[name=review]', $this),
    captchaInput = $('input[name=captcha]', $this),
    form_tokenInput = $('input[name=form_token]', $this),
    submitButton = $("button.submit", $this);

// Get the form data
// Must relate to the name attribute...
var formData = {
    'firstname': firstnameInput.val(),
    'lastname': lastnameInput.val(),
    'StarRating': ratingInputChecked.val(),
    'review': reviewInput.val(),
    'captcha': captchaInput.val(),
    'form_token': form_tokenInput.val(),
};
// Process the form
$.ajax({
        type: 'POST', // Define the type of HTTP verb we want to use (POST for our form)
        url: 'formProcess-review.php', // The url where we want to POST
        data: formData, // Our data object
        dataType: 'json', // What type of data do we expect back from the server
        encode: true
    })
    .done(function(data) {
        // Here we will handle errors and validation messages
        if (!data.success) {

            // Handle errors for doublepost (form_token) ---------------
            if (data.errors.doublepost) {
                $('button', $this).parents('.form-row')
                    .append(label + data.errors.doublepost + '</label>')
                    .children('label.invalid').attr('id', 'doublepost-error');
            }
        } else {
            // SUCCESS!!
           // Thanks!
        }
    }); // End .done function
// Stop the form from submitting the normal way and refreshing the page
event.preventDefault();
}); // End .submit function

formProcess-review.php 

<?php
session_start();
$errors     = array(); // array to hold validation errors
$data       = array(); // array to pass back data
$firstname  = $_POST['firstname'];
$lastname   = $_POST['lastname'];
$StarRating = $_POST['StarRating'];
$review     = $_POST['review'];
$captcha    = $_POST['captcha'];

// Form Validation...

if ($_POST['form_token'] !== $_SESSION['review_form_token']) {
   $errors['doublepost'] = 'You have already submitted your review, you can not resubmit. If you need to send another review, please reload the page.';
}
// return a response ===========================================================
// if there are any errors in our errors array, return a success boolean of false
if (!empty($errors)) {
   // if there are items in our errors array, return those errors
   $data['success'] = false;
   $data['errors']  = $errors;
} else {
   // if there are no errors process our form, then return a message

   unset($_SESSION['review_form_token']);

   // mySQL inserting data...

   // show a message of success and provide a true success variable
   $data['success'] = true;
   $data['message'] = 'Success!';
}
// return all our data to an AJAX call
echo json_encode($data);
?>

3 个答案:

答案 0 :(得分:1)

我刚刚尝试了您的代码,并且 Form令牌 Session令牌都已正确捕获到您的formProcess-review.php中。您的代码必须存在导致它的其他问题。

简化的Ajax提交。 

$.ajax({
        type: 'POST', 
        url: 'formProcess-review.php', 
        data: formData, 
        dataType: 'json', 
        encode: true
    })
    .done(function(data) {
  		alert(data.message);
      
    });

简化的formProcess-review.php 

<?php
session_start();
$data['message'] = "Form token = ".$_POST['form_token']."   Session value = ".$_SESSION['review_form_token'];
echo json_encode($data);
die();
?>

答案 1 :(得分:0)

尝试将此选项'withCredentials'添加到ajax调用中:

$.ajax({
    type: 'POST', 
    url: 'formProcess-review.php', 
    data: formData, 
    dataType: 'json', 
    encode: true,
    xhrFields: {
      withCredentials: true
    }
}

可能是ajax调用未将会话cookie发送到服务器。

答案 2 :(得分:0)

jun drie's anwser激励了我用相同的代码创建一个全新的index.php;这似乎起作用。我不知道为什么或如何,但是原始文件一定已损坏,迫使它无法正常工作,但仍使其显示在网络上(很奇怪,是吗?!)

我已经对代码进行了编辑,以使其更加简化,并且希望更好。

我在取消会话设置方面遇到了麻烦,所以我现在在index.php中的session_unset();之后立即调用session_start();,以取消1次重新加载之前的任何先前的会话。

尽管我进行了此更改,但很奇怪,如果没有它,它就可以正常工作。

相关问题
最新问题