$ _SERVER [ 'HTTP_REFERER'], как предполагается, содержат в виду страница:
- может быть опущена клиентом по причинам конфиденциальности
- может быть изменен клиентом (содержимое этого прибывает из запроса клиента в конце концов, в соответствии с проектом протокола)
- Как уже упоминалось в PHP documentation: Короче , на него нельзя доверять.
Ведение редирект после успешного получения представления должен делать добро, поскольку он направляет пользователя от кода обработки представления (при условии, перенаправлять куда-нибудь ..)
Но кто-то с черной шляпой может еще запишите запрос на сервер при выполнении оригинала, подайте заявку. И повторное использование. Таким образом, метод перенаправления должен быть достаточным, чтобы вы были «безопасны» у обычных пользователей, но не от человека, которому хочет, чтобы спамить ваш сайт. I. Это похоже на стенд, где ваш сайт сидит и принимает заявки, а затем вежливо рассказывает человеку, который передал представление, чтобы «переехать туда». Никаких замков и ничего. Человек может даже игнорировать просьбу двигаться дальше.
Если вы:
- добавить скрытое поле в форму с некоторым достаточно-труднодоступном угадать значение (! Изменяющаяся, а не какую-то постоянная фразы)
- хранить его где-то в данной сессии, база данных или что подходит вам
- переписать код, чтобы принимать только представление, если значение скрытого поля соответствует вашему сохраненному значению
Тогда вы поставить люк на свой стенд, который открыт только для тех, кто знает секретный код, предоставленный им. Вы ограничили доступ пользователей к обработке отправки. Секретное значение следует отбрасывать после использования, поскольку в противном случае оно может быть повторно использовано и теряет свою цель.
Пользователь может по-прежнему чередовать страницу формы и целевую страницу отправки/формы для получения новых секретных значений и разрешать делайте новое представление каждый раз, хотя.Если вы хотите ограничить количество представлений, которые пользователю разрешено сделать, вы должны отслеживать количество запросов, которые пользователь запросил на странице формы в последнее время.
.. и конечно, ищите запрещенные слова и т. Д. В вашем коде обработки, если вам нужно.
Посмотрите [здесь] (http://stackoverflow.com/questions/5690541/best-way-to-avoid-the-submit-due-to-a-refresh-of-the-page) кажется чтобы быть именно тем, что вы ищете. – Andrew
Вы можете установить cookie на свой компьютер, как только они отправят. Проверка реферера не будет работать, потому что пользователь может просто вернуться и отправить его снова. – chris85
Прочитайте это http://php.net/manual/en/reserved.variables.server.php , вы можете сохранить опубликованные данные в сеансе и проверить, были ли отправлены одинаковые данные в течение нескольких секунд, а затем дубликат. – Bsienn