PHPリロードによる二重送信をトークンで防ぎたい

前提・実現したいこと

PHPで簡易な投票ページを作っています。
index.phpページ内にフォームと結果のグラフを設置していますが、リロードすると二重送信となり加算されてしまいます。
トークンを使う方法をいろいろ調べていたのですが、初心者のためどのように記述すればよいかわかりません。とりあえず<input>でトークンを入れてみたのですが、このあとソースのどこにどのような記述が必要でしょうか？
よろしくお願いします。

該当のソースコード

<?php
session_start();

$toke_byte = openssl_random_pseudo_bytes(16);
$csrf_token = bin2hex($toke_byte);
$_SESSION['csrf_token'] = $csrf_token;

$fileName = "count.txt";
$errMessage = "エラーが発生しました。";
$answer = $_POST['hidden-btn'];

clearstatcache();

if(file_exists($fileName)){
    $array = unserialize(file_get_contents($fileName));
    //var_dump($array);
    if(!$array){
        $data = [0,0,0];
    } else {
        $data = $array;
    }

    if($answer == "1"){
        $ansResult = $data[0];
        $ansResult++;
        $data[0] = $ansResult;
    } else if ($answer == "2") {
        $ansResult = $data[1];
        $ansResult++;
        $data[1] = $ansResult;
    } else if ($answer == "3") {
        $ansResult = $data[2];
        $ansResult++;
        $data[2] = $ansResult;
    } else {
    }
    file_put_contents($fileName, serialize($data), LOCK_EX);
} else {
    $result = touch($fileName);
    if(!$result){
        echo $errMessage.' : ファイルの新規作成に失敗しました。';
        exit();
    }

    $data = [0,0,0];

    if($answer == "1"){
        $ansResult = $data[0];
        $ansResult++;
        $data[0] = $ansResult;
    } else if ($answer == "2") {
        $ansResult = $data[1];
        $ansResult++;
        $data[1] = $ansResult;
    } else if ($answer == "3") {
        $ansResult = $data[2];
        $ansResult++;
        $data[2] = $ansResult;
    } else {
    }
    file_put_contents($fileName, serialize($data), LOCK_EX);
}

clearstatcache();
?>
<!DOCTYPE html>
<html lang="ja">
    <body>
                <button class="question-btn" value="1">賛成</button>
                <button class="question-btn" value="2">反対</button>
                <button class="question-btn" value="3">どちらともいえない</button>
                <form id="question-form" action="index.php" method="post">
                    <input type="hidden" name="csrf_token" value="<?=$csrf_token?>">
                    <input type="hidden" id="hidden-btn" name="hidden-btn" value="">
                </form>
                <div id="chart">
                    <canvas id="myChart" width="200" height="200"></canvas>
                    <p id="noChart">まだ投票がありません。</p>
                </div>

	</body>
	<script>
	※以下省略

試したこと

下記サイトを読んでトークンを生成するところまでは理解できたのですが、チェックをどのようにすればよいのかわかりません。

さいきょうの二重サブミット対策
 サイトを安全に！PHPでcsrf対策を行う方法【初心者向け】

補足情報（FW/ツールのバージョンなど）

※事情によりデータベースは使用できません。
※社内イントラネット公開で公開します。
※参考にしたサイト：【PHP】phpでDB不要のアンケート機能を作成する

m.ts10806

2019/07/29 05:27

コードは関係部分だけの、最小構成のコードの方が見てるほうも助かりますし、ご自身としても問題切り分けがしやすいのではと思います。

tommmy.h

2019/07/29 05:42

ありがとうございます。読みづらくてすみません。結果表示の部分などいくらか省略してみました。「ここもなくていいんじゃないか」というところがありましたら編集します。

m.ts10806

2019/07/29 05:56

LocalStorage関連はなくてもいいかなと。ミニマムコードで試したほうが理解しやすくなると思います。

tommmy.h

2019/07/29 06:32

ありがとうございます。LocalStorage関連も省略しました。

行動規範の内容に同意します

回答2件

送信後別のページにheader("Location:xxx.php")で飛ばせばよいいでしょう

投稿2019/07/29 05:38

yambejp

総合スコア114742

tommmy.h

2019/07/30 01:48

こういう方法もあるんですね。参考になりました。どこかで使ってみます。ありがとうございました。

行動規範の内容に同意します

ベストアンサー

「サイトを安全に！PHPでcsrf対策を行う方法【初心者向け】」の記事の
リクエスト先(send_point.php)のような処理を実装するだけと思います。

要は「最初に設定した値と送信された値が違えばNG」とするだけなので。

投稿2019/07/29 05:31

m.ts10806

総合スコア80842

mikkame

2019/07/29 07:25

よく読んだら、csrfトークンの破棄が書かれてないので、その参考サイトの内容だと二重投稿できてしまうのでは？あとsend＿pointにはsession_startがないけど動くのか問題そしてlaravelはワンタイムトークンじゃないと思うんですが相変わらずテックアカデミーは雑なのか

m.ts10806

2019/07/29 07:28

テックアカデミーですからね・・。いずれにしてもセッションと送信されたトークンのチェック処理を入れるところからだと思います。

tommmy.h

2019/07/30 01:45 編集

ありがとうございます。友人にも相談してアレンジを加えたらいけました。下記を追加してHTMLのボタン部分をifで出し分けしました。 <?php session_start(); $is_valid_csrf = false; if ($_SESSION['csrf_token'] == $_POST['csrf_token']) { $is_valid_csrf = true; }

m.ts10806

2019/07/30 01:47

あくまでバリデーションの一環ですので、それで良いです