SeoTron Mar 3 2010 at 21:09

Защита от повторной обработки POST запроса

1 min

8.2K

Website development*

Comments 22

SeoTron Mar 3 2010 at 21:17

Поместил в WEB-разработку, полагаю наиболее подходит.

KrasivayaSvo Mar 3 2010 at 21:35

Мне кажется в некоторых случая достаточно будет md5-хеша не изменяемых данных транзакции (например, без учета id и даты времени).

UFO landed and left these words here

Power Mar 3 2010 at 23:07

А если пользователь в рамках сессии откроет больше одной вкладки?

dohlik Mar 4 2010 at 06:03

Имя для ключа сессии тоже можно генерировать (и передавать в $_POST).

SeoTron Mar 4 2010 at 10:51

Вообще, метод никоим образом не работает, если форму отправляет бот, который не принимает и не отдает куки.

Fortop Mar 4 2010 at 13:05

Сессия вообще-то может работать без кук.

SeoTron Mar 3 2010 at 23:39

Тоже неплохой вариант

SeoTron Mar 4 2010 at 11:49

Есть ли что-то с защитой от ботов, которые не принимают и не передают куки?

Fortop Mar 3 2010 at 22:17

В чем прикол? Чем не подошел обычный редирект без этого бубна?

maxatwork Mar 3 2010 at 22:50

Вот вот.
После обработки формы сделать редирект на другую страницу можно ведь.

SeoTron Mar 3 2010 at 23:33

Защита от невыполнения редиректа. Не разу разьве не видели, когда отправляешь форму, браузер зависает в режиме «скачано 0/0». Данные POST уже отправлены, а результаты выполнения скрипта, и Ваш редирект планируемый браузер не взял. Случается такое с не очень качественным интернетом, тем же gprs. Не дождавшись результата — пользователь может обновить страницу, остановить и иобновить — и данные передадутся вновь, и никакой редирект не спасет.

Ну конечно, в говнокодинге это лишнее, используйте редирект.

barker Mar 4 2010 at 00:16

На самом деле почти везде (в известных движках) в таких случаях используется редирект, почему сразу гавнокодинг. С другой стороны везде идёт вдобавок проверка по ключу. Методы никак друг другу не противоречат, а, наоборот, успешно дополняют. В чём проблема редиректа то?

eugeneorlov Mar 4 2010 at 03:12

То что Вы предлагаете реализовать на самом деле является классической защитой от CSRF.

IGlukhov Mar 4 2010 at 09:19

Не только от CSRF.

Я так отшиваю тупых спамботов, которые пытаются кидать свои запросы минуя страницу с формой.
В моём случае это 98% всего спама, так что метод оказывается очень эффективен.

eugeneorlov Mar 5 2010 at 05:33

А это тоже CSRF — сейчас этот термин несколько расширен и, конечно, правильнее было бы просто RF. Метод не просто эффективный, а вообще непробиваемый, как показала моя практика.

IGlukhov Mar 7 2010 at 07:38

Расширять его таким образом, на мой взгляд, неправомерно.
Просто многие рассуждающие на эту тему плохо представляют суть вопроса.

В данном случае речь идёт об RF, но совсем не CS.

vimruler Mar 4 2010 at 08:49

А почему нельзя ключ хранить в $_SESSION?

Evengard Mar 4 2010 at 08:59

Не понимаю зачем такие сложности с «уникальным ключом» и всё такое… Всё проще! При переходе на страницу формы делаем:

//не забудьте проинициализировать сессию
$_SESSION[«formId12345InputAllowed»] = true;

При отправки в форму вот такой:

//не забудьте проинициализировать сессию
if($_SESSION[«formId12345InputAllowed»] == true)
{
unset($_SESSION[«formId12345InputAllowed»] );
// дальше то что вам нужно с формой этой делать
}
else
{
echo «error!»;
die();
}

Что нужно больше?? И никаких вам запросов в базу

Evengard Mar 4 2010 at 09:05

12345 — уникальный идентификатор каждой формы (типа 123 — для авторизации, 124 — для транзакциии тд), дабы позволить пользователям вбивать сразу в несколько форм одновременно…

SeoTron Mar 4 2010 at 10:52

Что нужно больше? Как Ваш метод защищает от долблений в форму ботов, которые не передают и не принимают печеньки?

Evengard Mar 4 2010 at 14:57

Сессия — та же печенька :D главное правильно настроить веб сервер )
Нет печеньки — нет переменной $_SESSION[«formId12345InputAllowed»] — нет ввода данных )
Здесь просто в качестве уникального ключа используется SessionID и всё )