Q&A
投稿したらログアウトするってことですか? 使いにくそう…。
フォームから送られたデータの、F5等での多重投稿を防ぐ方法として、よくトークンを発行であったりリダイレクトさせたりであったりといった方法が紹介されていますが、単にセッションの破棄だけでは不十分なのでしょうか?
下記のとおり、データベースへの書き込みを行なったあとにセッションの破棄で対応しようかと思うのですが・・・。
PHP
1if (isset($_POST['send'])) { 2 $name = $_SESSION['name']; 3 $kana = $_SESSION['kana']; 4 $tel = $_SESSION['tel']; 5 $email = $_SESSION['email']; 6 $body = $_SESSION['body']; 7 8 $sql = 'INSERT INTO contacts (name, kana, tel, email, body) VALUES (:name, :kana, :tel, :email, :body)'; 9 $stmt = $dbh->prepare($sql); 10 $params = array(':name' => $name, ':kana' => $kana, ':tel' => $tel, ':email' => $email, ':body' => $body); 11 $stmt->execute($params); 12 13 $_SESSION = array(); 14 session_destroy(); 15}
あ、確かにログインが前提であればそうなるんでしょうね・・・ただ、今回はログイン関係なくお問い合わせフォームでの送信ということですm(_ _)m
ログイン前提ではなかったんですね。失礼しました。ただ、その場合、セッションをクリアすると新規の別の人扱いになると思いますが、同じ人が何度も送信しても分からなくなっちゃうような…。
回答2件
0
既に解決となっていますが、念のため補足します。
結論としてはこの方法でも多重投稿が防げるとは思いますが、あまり筋がよくありません。そのため、あまり使われないのだと思います。
筋がよくない理由は、多重投稿がほぼ同時にリクエストされた場合に、この処理だと不安があるからです。1つ目のリクエストがセッションを破棄する前に、2番目のリクエストが処理されると、多重投稿になります。このような問題をレースコンディションあるいはTOCTOU競合と言います。
ではなぜ「結論としてはこの方法でも多重投稿が防げる」かというと、PHPのセッション側で排他制御が掛かるからです。以下はPHPのマニュアルからの引用です。
注意:
ファイルベースのセッション (PHP のデフォルト) は、 session_start() でオープンしたり session.auto_start で暗黙のうちに開始したりしたセッションのセッションファイルをロックします。 いったんロックがかかったら、そのスクリプトが終了するなり session_write_close() を呼んでセッションを閉じるなりしない限り、 他のスクリプトからはそのセッションファイルにアクセスできません。
PHP: 基本的な使用法 - Manual から引用
しかし、セッションで排他制御が掛かることは多くの人は知らないでしょうから、そのような挙動に依存する実際は「筋が良くない」と考えます。また、ファイルベースでないセッション管理を用いている場合は、排他制御される保証はなく、多重投稿になる可能性があります。
このような理由から、セッションを破棄する方法での多重投稿防止はあまりよろしくないだろうと考えます。
投稿2022/11/25 11:09
総合スコア11701
0
ベストアンサー
提示のコードの通り「確認画面を挟んでセッションの内容を投稿する:」という方式であればセッションの破棄で一定の防止効果はあるんじゃないでしょうか
投稿2022/11/25 01:17
総合スコア1453
やっぱりこれで効果ありますよね、ありがとうございますm(_ _)m
いろいろと探してますが、この方法に言及されているものが見つからず、やろうとしているのは自分だけなのか・・・?という疑問が💦
あなたの回答
tips
プレビュー
