ThinkPHP表单令牌验证功能 - Thinkphp

ThinkPHP表单令牌验证功能

ThinkPHP新版内置了表单令牌验证功能,可以有效防止表单的远程提交等安全防护,表单令牌验证相关的配置参数有:

'TOKEN_ON' =>true,   // 是否开启令牌验证   'TOKEN_NAME' => '__hash__' ,     // 令牌验证的表单隐藏字段名称   'TOKEN_TYPE' => 'md5' ,   //令牌哈希验证规则 默认为MD5  

如果开启表单令牌验证功能,系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域,其值则是TOKEN_TYPE方式生成的哈希字符串,用于实现表单的自动令牌验证.

自动生成的隐藏域位于表单Form结束标志之前,如果希望自己控制隐藏域的位置,可以手动在表单页面添加__TOKEN__ 标识,系统会在输出模板的时候自动替换,如果在开启表单令牌验证的情况下,个别表单不需要使用令牌验证功能,可以在表单页面添加__NOTOKEN__,则系统会忽略当前表单的令牌验证.

如果页面中存在多个表单,建议添加__TOKEN__标识,并确保只有一个表单需要令牌验证.

模型类在创建数据对象的同时会自动进行表单令牌验证操作,如果你没有使用create方法创建数据对象的话,则需要手动调用模型的autoCheckToken方法进行表单令牌验证,如果返回false,则表示表单令牌验证错误,例如:

$User  = M( "User" );  // 实例化User对象   // 手动进行令牌验证   if  (! $User ->autoCheckToken( $_POST )){  // 令牌验证错误   } 

在ThinkPHP框架的View.class.php里定义了一个公共的模板替换函数,PHP代码如下:

protected   function  templateContentReplace( $content ) {           // 系统默认的特殊变量替换            $replace  =   array (               'Public'      => APP_PUBLIC_PATH, // 项目公共目录                '__PUBLIC__'     => WEB_PUBLIC_PATH, // 站点公共目录                '__TMPL__'       => APP_TMPL_PATH,   // 项目模板目录                '__ROOT__'       => __ROOT__,        // 当前网站地址                '__APP__'        => __APP__,         // 当前项目地址                '__UPLOAD__'     => __ROOT__. '/Uploads' ,               '__ACTION__'     => __ACTION__,      // 当前操作地址                '__SELF__'       => __SELF__,        // 当前页面地址                '__URL__'        => __URL__,               '__INFO__'       => __INFO__,          );           if (defined( 'GROUP_NAME' ))          {               $replace [ '__GROUP__' ] = __GROUP__; // 当前项目地址           }           if (C( 'TOKEN_ON' )) {               if ( strpos ( $content , '{__TOKEN__}' )) {                   // 指定表单令牌隐藏域位置                    $replace [ '{__TOKEN__}' ] =   $this ->buildFormToken();              } elseif ( strpos ( $content , '{__NOTOKEN__}' )){                   // 标记为不需要令牌验证                    $replace [ '{__NOTOKEN__}' ] =   '' ;              } elseif (preg_match( '/<\/form(\s*)>/is' , $content , $match )) {                   // 智能生成表单令牌隐藏域                    $replace [ $match [0]] =  $this ->buildFormToken(). $match [0];              }          }           // 允许用户自定义模板的字符串替换            if ( is_array (C( 'TMPL_PARSE_STRING' )) )               $replace  =   array_merge ( $replace ,C( 'TMPL_PARSE_STRING' ));           $content  =  str_replace ( array_keys ( $replace ), array_values ( $replace ), $content );           return   $content ;      } 

上面的if（C('TOKEN_ON')）是对令牌验证的开启状态进行判断,若开启则调用buildFormToken（）方法,$_SESSION[$tokenName] = $tokenValue; 其实就是给$_SESSION['__hash__']赋值,如果不想进行令牌验证,只要在页面的之前加入{__NOTOKEN__}就行了,它会被函数替换成空.

在ThinkPHP的Model.class.php类里定义了令牌的验证函数,PHP代码如下:

// 表单令牌验证            if (C( 'TOKEN_ON' ) && ! $this ->autoCheckToken( $data )) {               $this ->error = L( '_TOKEN_ERROR_' );               return  false;          }       // 自动表单令牌验证        public   function  autoCheckToken( $data ) {           $name    = C( 'TOKEN_NAME' );           if (isset( $_SESSION [ $name ])) {               // 当前需要令牌验证                if ( empty empty ( $data [ $name ]) ||  $_SESSION [ $name ] !=  $data [ $name ]) {                   // 非法提交                    return  false;              }               // 验证完成销毁session               unset( $_SESSION [ $name ]);          }           return  true;      } 

查看更多关于ThinkPHP表单令牌验证功能 - Thinkphp的详细内容...