雑多なレビューサイトこもれびゅー備忘録を兼ね PC周辺機器・家電製品・文房具等々の製品レビューを行っているサイトです

• ホーム
• プログラミング
• PHP

リロード等による二重投稿防止平成30年 11月 15日 作成

概略

お問い合わせやコメント投稿フォームの利用において、リロード（更新）や前画面へ戻って再送信と言ったユーザーアクションが考えられ、二重投稿が懸念される。

故意的な操作は勿論の事、ユーザーの間違った操作においても二重投稿がされない様な工夫が必要だと感じる。

よって、二重投稿を防止するスクリプトの習得を目的とする。

手段

「セッションを用いた対策」と「.header関数を用いた対策」の2通りの手段が考えられる。

実装方法

二重投稿が起こる理由

リロード（更新）を行うと、直前の動作を再実行する為、直前データ投稿等を行っていれば、再度送信され二重投稿となってしまう。

対策

1）.セッションを用いた対策

ユニークな値を生成、それをセッションに保存すると同時にPOST（GET）送信データの値とし、両方の値をチェックして整合性を確認する方法。（クロスサイトリクエストフォージェリ（CSRF）の対策に用いられる手法と同じ要領。）

2）.header関数を用いた対策

POSTで送られたデータを処理した後header関数を用いてリダイレクトする方法。これは、header関数を用いてリダイレクトするとGETの実行となり、たとえリロードしても最後に実行されたのがGETになっている。

サーバー変数：$_SERVER['REQUEST_METHOD']にて”POST判定”しておけば二重投稿が起こらない仕組み。

上記内容を踏まえ、下記にサンプルコードを記述。

対策「1」に関して

遷移前ページ

<?php
	// ユニークな値
	$token = "N6pbqzRd";
	
	session_start();
	$_SESSION['token'] = $token;
?>

<form method="POST">
	<input type="hidden" name="token" value="<?php echo $token ?>" />
	<input type="submit" value="送信" />
</form>

遷移後ページ

<?php
	session_start();
	
	// セッションとPOSTデータがセットされているか否かとセッションとPOSTデータが一致するか否かの確認
	if(isset($_SESSION['token']) && isset($_POST['token']) && $_SESSION['token'] === $_POST['token']){
		
		一致した時の処理
		
		// セッションに保持されているキーを削除する
		unset($_SESSION['token']);
	}else{
		
		一致しない（リロードされた）時の処理
		
		// 例：フォーム画面へ強制的に戻す
		header("HTTP/1.1 301 Moved Permanently");
		header('location: フォーム画面へのURL等');
		exit();
		
		// 例：エラーメッセージ表示
		echo 'リロードは禁止されています';
	}
?>

対策「2」に関して

遷移前ページ

<form method="POST">
	<input type="text" name="name" />
	<input type="submit" value="送信" />
</form>

遷移後ページ

<?php
	// 文字化け対策
	header('Content-Type: text/html; charset=utf-8');
	
	if($_SERVER['REQUEST_METHOD'] === 'POST'){
		
		// ここに登録等の処理を記載する
		
		// 処理後に自分自身にリダイレクトする
		header("HTTP/1.1 301 Moved Permanently");
		header('location: 自分自身のパス');
		exit();
	}else{
		// リロードしても「GET」の為 下記が表示される
		echo '送信完了しました';
	}
?>

考察

対策「2」の方がソースコードも短くて良さそうだが、戻るボタンで前ページへ戻った後同データを再送信出来てしまうのが難点。

上記には記載していないがリファラー対策もあるみたいなので、臨機応変に対策案を使い分けていければと思った次第です。

コメント