Q&A
「PHP リロード 多重送信」「PHP リロード対策」等のキーワードでgoogle検索やteratail内検索すると、参考になりそうな記事がいくつもひっかりますが、読んでみましたか?
現在一言コメントを投稿できる掲示板を実装しているのですが、リロードするとフォームが送信されてしまいます。そこで、$_SERVER['REQUEST_METHOD'] == 'POST'と記述したのですが、二重投稿されてしまいます。
PHP
1<?php 2 3$dataFile = 'bbs.dat'; 4 5// CSRF対策 6 7session_start(); 8 9function setToken() { 10 $token = sha1(uniqid(mt_rand(), true)); 11 $_SESSION['token'] = $token; 12} 13 14function checkToken() { 15 if (empty($_SESSION['token']) || ($_SESSION['token'] != $_POST['token'])) { 16 echo "不正なPOSTが行われました!"; 17 exit; 18 } 19} 20 21function h($s) { 22 return htmlspecialchars($s, ENT_QUOTES, 'UTF-8'); 23} 24 25if ($_SERVER['REQUEST_METHOD'] == 'POST' && 26 isset($_POST['message']) && 27 isset($_POST['user'])) { 28 29 checkToken(); 30 31 $message = trim($_POST['message']); 32 $user = trim($_POST['user']); 33 34 if ($message !== '') { 35 36 $user = ($user === '') ? 'ななしさん' : $user; 37 38 $message = str_replace("\t", ' ', $message); 39 $user = str_replace("\t", ' ', $user); 40 41 $postedAt = date('Y-m-d H:i:s'); 42 43 $newData = $message . "\t" . $user . "\t" . $postedAt. "\n"; 44 45 $fp = fopen($dataFile, 'a'); 46 fwrite($fp, $newData); 47 fclose($fp); 48 } 49} else { 50 setToken(); 51} 52 53$posts = file($dataFile, FILE_IGNORE_NEW_LINES); 54 55$posts = array_reverse($posts); 56 57?> 58<!DOCTYPE html> 59<html lang="ja"> 60<head> 61 <meta charset="utf-8"> 62 <title>簡易掲示板</title> 63</head> 64<body> 65 <h1>簡易掲示板</h1> 66 <form action="" method="post"> 67 message: <input type="text" name="message"> 68 user: <input type="text" name="user"> 69 <input type="submit" value="投稿"> 70 <input type="hidden" name="token" value="<?php echo h($_SESSION['token']); ?>"> 71 </form> 72 <h2>投稿一覧(<?php echo count($posts); ?>件)</h2> 73 <ul> 74 <?php if (count($posts)) : ?> 75 <?php foreach ($posts as $post) : ?> 76 <?php list($message, $user, $postedAt) = explode("\t", $post); ?> 77 <li><?php echo h($message); ?> (<?php echo h($user); ?>) - <?php echo h($postedAt); ?></li> 78 <?php endforeach; ?> 79 <?php else : ?> 80 <li>まだ投稿はありません。</li> 81 <?php endif; ?> 82 </ul> 83</body> 84</html>
読んだ上でifで$_SERVER['REQUEST_METHOD'] == 'POST' postされたときになる様な仕組みにしたのですが、なぜそれでは意図した結果にならないのか、またその対策を質問したい為今回質問させていただきました。
回答3件
0
CSRF 対策用の token を使用しているので、その延長で onetime token にしてしまうのが実装としては楽です。
ただ、 token の精製方法が適切ではないので、暗号学的に安全な実装にしたほうが良いです。(ソレ以外にも気になる記述が多数あるので教材を変えたほうが良いかも)
ダブルサブミット問題は、POST を理解するのにちょうどよい教材なので、正しく学ぶと良いです。
投稿2020/03/30 06:37
編集2020/03/30 06:43退会済みユーザー
総合スコア0
token に関しての知識が不足しているので、そこのあたりも学習してみます!
ご回答ありがとうございます
0
ベストアンサー
POST送信後にリロードは再送信なのでPOSTです。
リクエストメソッドもPOSTなので正しい動きです。
下記のような記事がよく読まれていますし、teratailでも同類質問でよく紹介されています。
さいきょうの二重サブミット対策
投稿2020/03/20 09:57
総合スコア80875
ご回答ありがとうございます。
提示してもらったサイトを読まさせていただきました。どの様な仕組みで二重投稿されてるのかわかったのですが、実装方法はPHPではありませんでした。
PHPのコードのみで行いたいのですが、どの様にすれば良いのでしょうか?
当然のことながらPHPでも実装可能です。
コピペで動くコードを期待するのではなく、
それぞれの手法の概念を理解し、適切に実装してください(でないと「対策」ではないです)
0
コメントを更新するというボタンを実装し、一度リダイレクトし、二重サブミットを防止しました。
投稿2020/03/30 06:24
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
