PHP表单重复提交令牌防刷方法

本文深入探讨了PHP中防止表单重复提交的核心解决方案——基于令牌（Token）的安全机制，系统介绍了五种实用且可靠的防护策略：Session一次性Token验证、双Token交叉校验、Cookie与时间戳联合校验、数据库唯一索引约束，以及前端禁用按钮与后端Token同步验证的协同方案；特别针对用户刷新页面或误点多次提交导致数据重复写入这一常见痛点，提供了从生成、传递、验证到销毁Token的完整实现逻辑和关键代码示例，帮助开发者快速构建健壮、安全的表单提交防护体系。

如果您在PHP应用中发现用户刷新页面或重复点击提交按钮导致表单数据多次写入数据库，则很可能是缺乏有效的防重复提交机制。以下是基于令牌（Token）实现的安全防护方法：

一、Session Token 一次性验证法

该方法利用 PHP Session 存储唯一 Token，并在表单提交后立即销毁或更新 Session 中的 Token 值，确保同一 Token 只能被验证成功一次，从而阻断重复提交路径。

1、在表单页面顶部调用 session_start() 启动会话。

2、生成唯一 Token 并存入 Session：$_SESSION['form_token'] = bin2hex(random_bytes(32));

3、将 Token 嵌入表单作为隐藏字段：<input type="hidden" name="token" value="<?php echo $_SESSION['form_token']; ?>">

4、接收 POST 请求后，校验 Token 是否匹配且存在：if (isset($_POST['token']) && hash_equals($_SESSION['form_token'], $_POST['token']))

5、验证通过后立即重置 Session 中的 Token：unset($_SESSION['form_token']); 或赋新值。

二、双 Token 检查机制（提交前+提交后）

此方法在客户端保留一个初始 Token，在服务端维护两个状态：预提交 Token 与已提交 Token。通过比对两者差异识别是否为首次提交，适用于多步骤表单或需保留原始 Token 场景。

1、页面加载时生成两个 Token：$pre_token = bin2hex(random_bytes(16)); $post_token = bin2hex(random_bytes(16));

2、将 $pre_token 存入 Session，$post_token 写入表单 hidden 字段。

3、提交时验证 hidden 字段值是否等于 Session 中的 $pre_token。

4、验证成功后，将 Session 中的 $pre_token 替换为 $post_token。

5、后续重复提交将因 hidden 字段值（仍为旧 $post_token）与 Session 新值不一致而失败。

三、Cookie + Timestamp 联合校验法

该方案不依赖 Session，而是将 Token 与时间戳组合后加密写入 Cookie，服务端解密并校验时效性与唯一性，适合无状态或分布式部署环境。

1、生成带时间戳的 Token：$token = hash_hmac('sha256', time() . uniqid(), 'salt_key');

2、设置 HttpOnly Cookie：setcookie('form_token', $token, time()+300, '/', '', false, true);

3、表单中嵌入当前时间戳：<input type="hidden" name="ts" value="<?php echo time(); ?>">

4、提交时读取 Cookie 和 POST 中的 ts，重新计算 HMAC：hash_hmac('sha256', $_POST['ts'] . uniqid(), 'salt_key')

5、若计算结果与 Cookie 值一致且 time() - $_POST['ts'] <= 300，则允许处理。

四、数据库唯一索引约束辅助法

该方法作为 Token 验证的底层补充，在数据库层面强制拦截重复插入，防止因 Token 机制失效或绕过导致的数据污染。

1、在业务表中添加联合唯一索引，覆盖用户 ID、操作类型、关键参数及时间窗口字段：ALTER TABLE user_order ADD UNIQUE INDEX uk_user_action_time (user_id, action_type, md5(param_data), DATE(created_at));

2、插入前不预先查询，直接执行 INSERT … ON DUPLICATE KEY UPDATE 或 INSERT IGNORE。

3、捕获 SQLSTATE '23000' 错误码，返回“操作已存在”提示而非内部错误。

4、确保 param_data 经过标准化处理（如 JSON 排序、空格清理），避免语义相同但字符串不同导致索引失效。

五、前端按钮禁用 + Token 同步校验法

该方法从前端交互层切断重复触发源头，同时与后端 Token 机制联动，形成双重保障，适用于高敏感操作如支付、注册等。

1、表单提交函数中添加按钮禁用逻辑：document.getElementById('submitBtn').disabled = true;

2、使用 JavaScript 生成临时 Token 并附加至 FormData：formData.append('js_token', btoa(Math.random().toString(36).substr(2, 9)));

3、PHP 端验证该 js_token 是否未在最近 60 秒内被使用过，记录于 Redis：if ($redis->exists('js_token:' . $_POST['js_token'])) { die('重复请求'); } $redis->setex('js_token:' . $_POST['js_token'], 60, 1);

4、禁用状态在响应成功后由 JS 解除，或在页面跳转前保持禁用。

本篇关于《PHP表单重复提交令牌防刷方法》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！