PHP Token(令牌)設計

設計目標:

避免重復提交數據.

檢查來路,是否是外部提交

匹配要執行的動作(如果有多個邏輯在同一個頁面實現,比如新增,刪除,修改放到一個PHP文件里操作)

這里所說的token是在頁面顯示的時候,寫到FORM的一個隱藏表單項(type=hidden).

token不可明文,如果是明文,那就太危險了,所以要采用一定的加密方式.密文要可逆.俺算法很白癡,所以采用了網上一個現成的方法.

如何達到目的:

怎樣避免重復提交?

在SESSION里要存一個數組,這個數組存放以經成功提交的token.在后臺處理時,先判斷這個token是否在這個數組里,如果存在,說明是重復提交.

如何檢查來路?

可選項,這個token在生成的時候,加入了當前的session_id.如果別人copy你的html(token一迸copy),在提交時,理論上token里包含的session_id不等于當前session_id,就可以判斷這次提交是外部提交.

如何匹配要執行的動作?

在token的時候,要把這個token的動作名稱寫進這個token里,這樣,在處理的時候,把這個動作解出來進行比較就行了.

我以前寫的GToken不能達到上面所說的第二條,今天修改了一下,把功能2加上了.個人感覺還行.