TP3.2.3开启令牌验证

看TP手册的安全专题时看到：

输入过滤中提到:

永远不要相信客户端提交的数据，所以对于输入数据的过滤势在必行，我们建议：

• 开启令牌验证避免数据的重复提交；
• 使用自动验证和自动完成机制进行初步过滤；
• 使用系统提供的I函数获取用户输入数据；
• 对不同的应用需求设置不同的安全过滤函数，常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等；  

 

开启令牌验证保证数据表单提交数据只能提交一次，有效防止表单的重复提交等安全防护。这就保证了提交数据的唯一性。在Tp中，其原理是系统会自动在带有表单的模板文件里面自动生成以TOKEN_NAME为名称的隐藏域，其值则是TOKEN_TYPE方式生成的哈希字符串，用于实现表单的自动令牌验证。这样表单每次提交就要被验证是否带有这个值。从而保证了数据提交的唯一性。

除了按照手册上的配置之外还需在MOde\commom.php中的 模板输出替换 添加   'Behavior\TokenBuildBehavior'

开启之后就可以看到表单中模板文件里面自动生成以TOKEN_NAME为名称的隐藏域，其值则是TOKEN_TYPE方式生成的哈希字符串，用于实现表单的自动令牌验证。