редирект

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".mysql_escape_string(trim($_POST['text']))."',
        `id_user`  = ".(int)$id_user.",
        `id_topic` = ".(int)$id_topic."
    ");
    header("Location: http://".$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']."");
}

PS: если я правильно понял вопрос, после бурно проведенного НГ))

Могу сказать бред, но вижу только так:

<form action="" method="post">
  <textarea name="text"></textarea>
  <br />
  <input type="submit" />
</form>
<?php
if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
    echo 'Ваш комментарий добавлен! Сейчас вы его увидите....';
    echo '<meta http-equiv="refresh" content="3; url=http://phpforum.ru/commetns.php#last" />';
}
?>

Ну и #last спецом для удобства пользователя :)
Напиши в скайп мне, правильно ли я сделал то хоть? :)

редирект

Блин говно-вопрос, вопрос-говно.
Воспользуйся темже принципом как и при защите от CRSF атак.
После добавления записи очищать hash формы, а при добавлении его проверять.
Нет hash-a - нет операции, есть валидный хэш есть и операция.

Так уж исторически сложилось, что никогда не приходилось мне защищаться от F5. Возможно потому, что я особо не изобретал велики, а писал сразу на фрейморках (реже CMS) где все продумано, и подобных проблем нету.
Так вот, ближе к делу:
не особо вникая в суть проблемы, а мотивируя себя только просьбой inpost-a предположил следующий алгоритм:
1. в базу добавим + 1 поле `hash`, например, и ставим ему UNIQUE-индекс. В нем будет хранится md5-хэш данных отправляемых через форму.
2. при добавлении нового коммента или чего либо, что отправляется через форму, создаем уникальный ключ текста или еще чего.
3. далее запихиваем данные в базу. Если БД вернет нам ошибку, не помню какую, 1064 по моему - ура! защита сработала.

Почему так происходит ?
поле `hash` имеет уникальный индекс, это значит оно не пустит в БД две одинаковых строки этого поля. Т.е, (key == key) = FALSE (1064).

Надеюсь все понятно.
Может способ не самый рациональный, но 100% рабочий.

Ладно, уговорил, речистый :) Напишу, хотя я уже раз 100 это писал, в т.ч. и на англоязычном форуме.

Для начала - не буду менять твой код, хотя у него и нет защиты от SQL-инъекции ;)

Общая структура скрипта:

1. Сначала - ПХП код, который анализирует данные.
2. Затем - чтение данных из БД. Этот код сработает всегда, в т.ч. и тогда, когда форма не была запущена либо когда есть ошибки при вводе.
3. И в конце - сама форма. Где, в т.ч., выводим данные, которые были прочитаны из БД, на основании АйДи в ГЕТе.

Твой код:

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
}

А это мой, измененный код

$text= isset( $_POST['text'] ) ? $_POST['text'] : '';
if( $text <> '' )
{
// тут оставляем на совести ИНПОСТа возможную SQL-инъекцию.
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$text."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");

   header( "Refresh: 10, ".$http_данной_страницы+ID_этого_текста);
   echo "Ваши данные записаны в БД"; // тут можно сделать любой вывод текста, в т.ч. и красиво форматированный
   exit(); // выходим, игнорируя всё, что дальше написано

}

// далее анализируем: если в ГЕТе был передан АйДи, то читаем данные из БД и пишем в переменную $text
// сюда попадаем, если в ПОСТе не было ничего либо текст был пустой; возможность удаления текста не предусмотрена, т.к. это надо делать отдельной кнопкой, которая не входит в ТЗ ;)

А дальше выводим форму

<form action="" method="post">
  <textarea name="text"><?php echo $text; ?></textarea>
  <br />
  <input type="submit" />
</form>

Где-то так примерно...

johniek_comp - порядок действий надо поменять. Сначала ПХП-проверка, а потом форма.

Использовал бы PRG паттерн. В энциклопедии он написан очень детально ,Duplicate form submissions
По мне это самое оптимальное решение.
В частности это редирект методами POST или GET

Каптча + редирект и по самбиту скидывать сессию каптчу

Классная тема. Столько хорошим примеров для себя нашел. inpost создавай ещё тем в php для начинающих

2 варианта.
1) Самым популярный редирект после внесения изменений в бд. Хидер-локейшн в простонародье.
2) Постинг через аякс. Реализация например через подобный плагин.

inpost

ну во первых - бональный редирект через заголовок.
как вариант: тупо взять и очистить (или обнулить POST) - естес-но после выполения скрипта.

Игорь_Vasinsky
Как ты предлагаешь очистить? Он очищается при редиректе, или ещё как?

ну

$_POST = null;

можно побыдлокодить с unset() :ph34r:

не понял.

нужно предотвратить повторную запись. - если запись после проверки кнопки - удалить её нафиг из POST

POST же и по ключам можно очищать, ключи же известны.

Игорь_Vasinsky
Напиши код и сам же протестируй

<input type="submit"  name="send"/>

if(isset($_POST['send']))
{
   //проверяем, пишем в БД и тд
   unset($_POST['send']);
}

а что тут тестировать....

ну вообще предпочтительней header - даже если придётся и с ob_start()


а это просто не стандарное и неорденарное решение - т.е. как вариант.

Я пользуюсь редиректом.

Игорь_Vasinsky
И что, от F5 защищает ?

да.. загнался я .... тока хеадер!

сессии, куки, даже создание файла

я про свой ответ говорил.

Мой вариант совсем "гнилой" ?

ну вопервых - я тока редиректу верю, а остальное - это как варианты, чтоб был из чего выбирать.

JS - вдруг он отключен....

всегда писал header(), пока что проблем не было...

caballero
мы видимо о разных вещах с тобой говорим???

header("location: ".$_SERVER['PHP_SELF']);

или с гет параметрами - смотря где форма висит.

такой редирект после работы с данными и усё пусто в POST

Не понятно чего хочет inpost, видимо что-то невообразимое.

<meta http-equiv="refresh" content="0; url=index.php">
без Js

У меня тупо форму генернит скрипт РНР, проверяет значения если всё хорошо обработка и редирект.
Хотя думаю как сказали выше лучше на уровне клиентской делать как говорит caballero
Ну и в впридачу грабли на яваскрипт типа АЛЕРТ - сообщение было добавленно, только я сам этого не люблю все эти алерт, лишние телодвижения напрягают.

Winston

inpost
не томи =)

Редирект или очищение формы.

if(isset($_POST['text']))
{
$_SESSION['t_text']=$_POST['text'];
}
		header('Location: index.php');
		exit;

if(isset($_SESSION['t_text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_SESSION['t_text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
unset($_SESSION['t_text']);
}

sergeiss
Имя называть не буду Зачем обижать человека, к тому же он на меня обидится! После этого была очень классная мысль, но она не развита в ввиду отсутствия знаний
Правильную картину создать тяжелее всего, потому что способы обойти F5 есть. Легче назвать то, что неправильно, которые при минимальных посягательствах не смогут защитить от Ф5 для повторной отправки формы.
Я не уверен, что я знаю все способы обойти Ф5, но те, которые я знаю спокойно помогут обойти от такой "лже-защиты". Не зря же в условии стоит "защита от Ф5", а не "как очистить $_POST"

inpost

Можно тогда прокомментировать почему не работает предложенный способ через редирект? Ну и что что $_POST очищается, мне кажется этого достаточно чтоб предотвратить повторную отправку данных.

inpost

ну так по подробней: что за человек и какой вариант ты выбрал? и что за гнусные дела??

На вскидку два варианта пришло в голову;

1. Редирект.
2.Использовать сессии:

session_start();
if(isset($_POST['text']) && empty($_SESSION['post']))
{
    $res = mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");

    if($res)
        $_SESSION['post'] = 1;
}

Но лучше в сессию записывать id последнего поста, тогда можно будет разрешить юзеру редактировать свой пост, а вот два раза подряд ответить будет уже нельзя.

header("Location:" . $_SERVER['PHP_SELF']);
exit();

Физика процесса такая (на основе протоколов RFC). После сохранения данных в базе сервер вместо формирования отклика любой POST-запрос должен превратить в GET, если, конечно, нужно избежать повторной обработки POST-запроса. Сделать это он может только через редирект на ту ветвь скрипта, которая хранит состояние системы после POST-запроса.
Когда выполняется header("Location:"...) или header("refresh"...) броузер "забывает" про POST и в его истории сохраняется только GET-запрос.
Этот GET и будет выполнен при нажатии F5. Само собой, POST-обработка не повторится.
Исходя из описанной физики, мне кажется, альтарнатив здесь практически нет. Не считая, конечно, Ajax.
Нагружать базу всякими дополнительными хешами не стоит, когда много модулей, компонентов, блоков и т.д., для базы есть задачи и поважнее. Редирект можно сделать и с помощью JS, но мешать JS в php - дурной тон.

Опера => Общие настройки => Расширенные => Сеть => *Включить автоматическое перенаправление (снимаем галочку). + => Содержимое => *Включить JavaScript (снимаем галочку).
Теперь проверяем 2 простых способа редиректа на js+php. Открываем, отправляем, клацаем F5,F5,F5,F5. Проверять на своём сервере, чтобы никому ничего не ломать и нигде не спамить. Мы же хорошие люди.
Итого, очистка формы то работает, но считать это "адекватной защитой" от желания поклацать Ф5 не спасает. Замечу, что эту возможность даёт сам браузер, а не какие-то сторонние хакерские проги или приложения.

Парочку ответов были хороши в теме

отслеживать ASCII-код нажатой клавиши ) только я хз как это в php сделать)

Редирект

Если я правильно понял вопрос, то
Header("Location: .");
Ну или если надо сообщение вывести, то
Header("Location: ?alert=23");

ну у меня лично 2 варианта

1. Сразу после добавления сделать редирект (впринципе всегда так и делаю)

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
header('location:index.php?added'); //что-то типа такого
}

2. Сессии.

session_start();

if(isset($_POST['text']))
{
    if(!isset($_SESSION['text']) || $_SESSION['text'] != $_POST['text']){
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
    $_SESSION['text'] = $_POST['text'];
    }else{
         echo 'Данные уже были добавлены раньше';
    }
}

как-то так :)

inpost
Мой вариант с доп. hidden инпутом с хешем вообще не рассматривал чтоли?
На этом принципе построены все формогенераторы в фреймворках.

Семён
А кто сказал, что я не рассматривал остальные? Я просто сказал то, что сразу очевидно является неправильным Я не озвучивал анализ остальных способов, только 2 самых неправильных показал

Ну помоему кроме: ничего не встречал.
1) Hash в hidden input и доп. проверкой на флуд последних поступивших данных (или капчи)
2) Ajax отправки данных с последующей проверкой на HTTP_X_REQUESTED_WITH и доп. проверкой на флуд последних поступивших данных
3) Банального редиректа

inpost
наверно я уже опоздал (слишком много праздников навалилось ), но все равно пятак вставлю.

session_start();

if(isset($_POST['text'], $_POST['token'], $_SESSION['token']) && $_POST['token'] == $_SESSION['token']){
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".mysql_real_escape_string($_POST['text'])."',
        `id_user`  = ".(int)$id_user.",
        `id_topic` = ".(int)$id_topic."
    ");
}
$_SESSION['token'] = md5(microtime(1) . rand(0, 9999));

if(!empty($_POST)){
	header("Location: ".$_SERVER['REQUEST_URI']);
	die();
}
?>
<form action="" method="post">
  <textarea name="text"></textarea>
  <br />
  <input type="submit" />
  <input type="hidden" name="token" value="<?=$_SESSION['token']?>" />
</form>

ну как вариант добавить сессии или куки

if(isset($_POST['text']) && $_SESSION[че нить] == чиму нибудь)
{
mysql_query("
INSERT INTO `t_mess` SET
`text` = '".$_POST['text']."',
`id_user` = ".$id_user.",
`id_topic` = ".$id_topic."
");
$_SESSION[]=;
}

не так уж и рационально зато надежно!

Сгенерировать уникальный идентификатор и сохранить его в скрытом поле формы. Перед тем как обрабатывать форму проверяешь, не была ли уже представлена метка. Если была то генерируешь ошибку, иначе продолжаешь работу.

редирект на эту же страницу подставив в урле какую-нибудь переменную, которая передаст скрипту результат обработки коммента, либо добавлять его через ajax)

Пошел читать коменты:)

Вопрос некорректен, ибо то, что ты описал позже - уже не F5. С таким же успехом можно было приплести курл или вообще специально написанную флудилку.

Я допустим могу такой способ (он проще) в опере предложить. Жмешь отправить, потом назад по истории и опять отправить. Тоже простой редирект не работает. Простой редирект (в миру защита от F5) призван очистить форму, дабы уберечь юзера от досадных дублей. От хулиганов нужны совсем другие меры, о чем ты не ставил условий.

Если говорить о вандализме, то круче капчи пока не придумали. Ну можно еще форму прошить сессией, тоже полумера. А самый действенный способ - модерация.

создал бы ещё поле по времени добавления. И сделал ограничение перед добавлением(сообщения, темы) 20-30 сек.

twin
Есть 2 вопроса: как очистить форму, который не стоял!
А стоял четкий вопрос, человек делает определённые действия на сайте, а потом тычет F5 и создаёт дубли сообщений. Цель: недопустить дубли. Так что тут всё правильно было задано.
Стрелочка "вернуться назад" имеет тот же эффект, что и Ф5. Задачей стояло именно уберечь от вредителей (ЗАЩИТА), а не очистка переданных данных.

Где ниже? Я отправил форму, далее нажал Ф5. Всё честно, ничего из своего задания не нарушил.

inpost

А если сделать переменную сессии - счетчик, при первой обработке т.е. обработка проиходит (только если это переменной нет) и устанавливаем эту переменную, повторно уже обработка работать не будет т.к. переменная существует.

A.B.C.
посмотри мой вариант. Он не только защищает от F5, но и от CSRF атак.

killer8080

точно...

twin
Не все участвовали в конкурсе. Всем кажется, что редирект помогает от Ф5. Вот и получается, те, кто ответили в теме, прочитали тему ещё раз и посмотрели отзывы других и раз и навсегда научатся правильно защищаться от такой простой и банальной вещи.
Банальный пример: админка, ты управляешь сайтом, в какой-то момент ты нажимаешь "добавить запись" и запрос отправляется на сервер, но из-за нагрузок он ответ тебе не присылает сразу. Тебе кажется, что сайт упал и жмёшь Ф5 ещё раз, на этот раз сервер возвращает ответ с заголовком редиректа. Смотришь, а у тебя уже 2 одинаковых записи из-за того, что сервер в какой-то момент просто подвис или ещё чего, но запрос твой получил. Так вот, это не вандализм, потому что твой браузер не получит ответ от сервера в течении 3-х минут и выдал ошибку, что "сервер не отвечает", хотя по факту создались дубли.
Нет никакого вандализма, зато есть факт появления дублей.

inpost

inpost
я один раз спорил на этом форуме за редирект. и был прав с одной стороны. потому что ие6 в некоторых версиях не сбрасывал пост простым редиректом. Я грешным делом подумал, что ты об этом. Но нет.

Еще раз. Задачу нужно ставить конкретно. F5 как таковая - вещь не страшная. Это штука, от которой можно предупредить здравомыслящего юзера. Если он лезит в настройки бразера, дабы навредить - он вандал. И с ним разговор иной.

В 99% случаев простого редиректа достаточно. А если имеет место вандализм - совсем другие методы.

Я если бы отвечал на вопрос, как он есть, ответил бы тоже - редирект. Если бы почуял подвох - сказал бы - редирект с рандомным параметром. Но это вопрос о повторной отправке формы. Согласись - несколько иное. И решения тоже иные.

Я бы сделал так

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
header("Location: " . $_SERVER["PHP_SELF"] . "/");
}

Только сейчас тему увидел...)
Пользуюсь редиректом, как учили здесь на форуме)

Против такого вадализма можно использовать задержку времни несколько секунд.
А если поглубже копнуть то можно просто сравнивать отправленные сообщения, если одинаковые то не писать в БД и выводить юзеру сообщение что тема уже добавлена.

Все комментарии приносить распечатанными с паспортом, принимать под опись и постить только главным админом под личную ответственность. Спамеры не пройдут.

Nikitian, верно говорит. Можно еще и деньги брать.

Да уж.....
Наверное ленивый вандал будет замарачиваться и кнопать Ф5, другой просто напишет бот и заспамит по самое нехочу и рандомное число в сессии не поможет и сравнение сообщений не помжет, может только на уровне сервера немного защитится но и это не гарантия.
Если есть притендент с конкурентами которые хотят понизить доверие к сайту, только капча и модерация поможет.
Был такой ресурс webmascon.com - он вернее и сейчас есть, там был форум, достаточно популярный, всякие умники по валидность разглагольствовали и типо того спецы по вэб технологиям, года два назад его убили ботом , заспамили.
А владелец сайта продвинутый вэб мастер даже отключить не мог заспаменный форум, так и висел наверное больше пол года с дебильными сообщениями на английском , купить типа интим продукты, точно уже и не помню.

ну. при регистрации чтоб обязаловом указывали кошельки WM - доступ на сайт только со включенным WM и авторизированным.

за каждый пост - списывать денюжку.

да вообще можно много разных вариантов наворотить помимо редиректа. из своей практики скажу так - во многих случаях я не отправляю форму штатным сабмитом, а по сабмиту сначала вызываю какую-нибудь js-функцию - проверяю корректность введенного, формирую либо гет, либо пост формат для отсылки (зачастую жкверевским сериалайзом, ну или вручную). далее, если мы говорим чисто о пост-отправке, то php-обработчик может достаточно гибко все организовать - на первом проходе идет контроль корректности, и если что-то не так, то просто отдается сообщение об ошибке без всякого редиректа. если чел продолжает жать ф5, то ему будет просто постоянно слаться эта ошибка. если все корректно, то обработчик (это я говорю о своих вариантах) отдает флаг корректно принятых данных, а js-приемник уже по ситуации решает что делать дальше - в самом простом случае просто location.href... незнаю, я стараюсь избегать редиректа из php, незнаю точно почему, но мне как-то ненравится этот метод. какой-то он "топорный" чтоли. в общем я хочу сказать, что если повесить сабмит и контроль на js, то можно довольно гибко управлять отправкой и проблема с ф5 как-то сама собой отсутствует при этом.

Игорь_Vasinsky
Так напиши статью, у тебя слог хороший.
Как делать правильно регистрацию и поставь свой номер кошелька в пример.
Найдутся умники копипаста и тебе денюжка будет

redreem Как правило об этом везде и говорят, всё что можно сделать на стороне клиента то и делают.
Я поддерживаю.

Типичная реакция:
- Ты дурак
- Сам дурак

От неё не избавиться людям Ещё раз повторюсь, есть вандал, который жмёт Ф5 постоянно, и есть ЗАЩИТА ОТ Ф5, о которой шла речь, читать надо внимательно как минимум заголовок.
Задание было такое, есть ситуация, в которой человек нажмёт Ф5 и отправит ещё раз данные (ВАНДАЛ, или дядя Петя, или хакер, не важно). Перед нами стоит заказчик, который чётко сформировал задание, ему нужна форма, и он знает, что если нажать Ф5, данные отправятся ещё раз в определённых случаях, задание звучит так: "обезопасить от данного действия". Это всё можно прочитать в задании, если почитать.
Вопрос только в лени. Менее опытные говорят редирект, более опытные придумывают нормальные способы защиты.

Представь на секундочку, пришел БИЛЛ ГЕЙТС и сказал, я хочу, чтобы на моём сайте нажимая Ф5 повторно данные не записывались. Ты делаешь редирект, а потом попытайся доказать Билл Гейтсу что твой метод рабочий, если он соберёт вокруг тебя МИЛЛИОН зрителей и нажмёт одну единственную кнопку "F5". Не прав будешь ИМЕННО ТЫ!

Ещё раз: написание спам-бота - ЭТО ХАКЕРСТВО, которое запрещено законом. Нажать Ф5 ещё раз - это обычное дело для работы браузера и отключение стандартного редиректа - опять же обычное дело. И если кто-то напишет свой коммент дважды - это не будет ни ВАНДАЛИЗМОМ, ни ХАКЕРСТВОМ, это будет всё в области закона, так вот от этого и была защита.


Собственно как я ранее и написал, нет смысла кому-то что-то доказывать, особенно зная самовлюблённость большинства программистов с опытом. Слушать будут только новички, и тема поднята для них. Я не могу объяснить, что не прав мой отец в определённых ситуациях, хотя это очевидно и жизнь говорит об этом. Что уж говорить о том, что методы программирования взрослых людей с огромным опытом, особенно тех, кто считает себя умнее меня, имея за спиной жизнь - неправильные?!

И не надо говорить, что вопрос поставлен не корректно, потому что есть люди, которые дали правильный ответ, значит они поняли и к данному заданию отнеслись как к вопросу на МИЛЛИОН $, а не как к пустому трёпу на форуме.

inpost
Ну так всё правильно пишешь, никто вроде особо и не возражал, нормально кроме ридиректа использовать и проверку на стороне клиента.

Почему бесмысленно, если используются сесии для индификации, подделать форму проблемно.
Конечно не панацея но в реале каждый раз проверять на сервере правильно ли что то заполненно тоже не оптимально. Да и проверка на сервере не отменяется.

sebastjan
Сессия - это относится к серверу К клиенту - JS.

sebastjan
Любые клиентские проверки на JS, работают только в том случае, если последний у юзера включен. Кто сказал что я обязан включать JS? Может я страдаю паранойей, и с включенным js по вебу не хожу

killer8080, автомобили не выпускают ориентируясь на психов, не оборачивают их резиновыми подушками, чтоб психам было удобно врезаться.

redreem
Подушка безопасности как раз для этого и существует, чтобы удобно было в аварии попадать.

"удобно"???

redreem
Не попадал в связи с тем, что нет своей машины. Но если человек живой, значит всё нормально. Это как экстрим, с верёвки (банджи) с моста спрыгивать, не будет безопасности - об землю харась!

ладно, мне вообще не понятно о чем тут спор в очередной раз. холивар одним словом

redreem
В том, что обвинили меня, что я не так задал вопрос! Вот я спорю, что вопрос задан верно

аа. я не вчитывался кто там что писал чесно говоря. но перед своим вариантом ответа прочитал раза 3 твой вопрос. для себя я его понял так: "выскажитесь в свободной форме как контролировать случайное или преднамеренное удержание ф5". не более того. про хакеров, злоумышленников и прочих пиплов, заведомо предрасположенных использовать низкоуровневые методы я в вопросе явного уточнения не заметил.

redreem
Заказ был от заказчика, а заказчик врядли будет уточнять такие нюансы, он думает, что программисту это итак очевидно

заказчику: данный вопрос лучше рассматривать как DDOS-защиту, а не как часть серверного скрипта сайта.

inpost

Но теперь то все поняли, чего хотел inpost. Так зачем продолжать эти религиозные войны?

Приветствую!
Может поздно, а может и нет
Когда я делал свой первый сайт, я просто брал и делал редирект на эту же страницу и всё...

ну раз так дело повернулось.. я бы

1. таймаут на любую запись в БД по session_id() секунды на 3-4
2. и потом header + exit


но если юзер захочет законным путём продублировать свой мессадж - то
4. сравнить текст + session_id с записью в БД (последней)


но мне не критично (4). может он - тупо хочет повторить свой вопрос.

да.. не.. нормально..я просто акцентировал.


вот мне сёдня пришло в голову: таймаут на любую запись в БД для определённого session_id - в принципе 3-4 сек это нормальный интервал для выявлени флудера

а js может прочитать keycode после записи и выдать алерт, например с последующим редиректом.

а чё мой последний пост игнорируете? как задумка?

а я не про чат.. комменты - тока... в остально дубляж допустим

Я не особо понял, зачем тебе это, и каковы правила использования примера, но все-же внесу пару строк от себя

Ну допустим, я ввел текст: Привет
Нажал сабмит и понеслась.

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ") or die(mysql_error());
}

Ну во первых, самое простое это принудительно хедером выкинуть назад.

if(isset($_POST['text']))
{
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ") or die(mysql_error());

     header('Location: '.$_SERVER['HTTP_REFERER']); // но думаю, лучше собрать адрес вручную, не суть
}

можно неявно защититься, с помощью проверки дубляжа:

if(isset($_POST['text']))
{

   $res = mysql_query("
      SELECT 1 FROM `t_mess`
      WHERE `text` = '".$_POST['text']."' AND `id_user`  = ".$id_user."
      AND `id_topic` = ".$id_topic) or die(mysql_error());

   if (mysql_num_rows($res) == 0) {
     mysql_query("
          INSERT INTO `t_mess` SET 
          `text`       = '".$_POST['text']."',
          `id_user`  = ".$id_user.",
          `id_topic` = ".$id_topic."
      ") or die(mysql_error());
  }
}

Но это не самый оптимальный вариант, особенно если будет много полей.

Можно еще яваскриптом, но его спокойно можно отрубить.

Ну более вариантов пока в голову не приходит.

Хм....
У меня стоит так
.......................

foreach ($data as $dt)
			       $dt = '';
header('location: http://'. $_SERVER['HTTP_HOST'] . $_SERVER['PHP_SELF']);
			break;

.......................
Вроде все нормально работает.
Но видимо не все так просто, раз уже так
много постов. Ну, буду читать

twin
Ты где-то видел, что я пытался "ловить людей на незнании матчасти"?
Ты слишком узко смотришь в этом вопросе. Ну сколько мне ещё повторять, что вопрос в том, чтобы кнопка Ф5 не создала дубль. Делай всё, что хочешь, но чтобы я, нажимая на кнопку Ф5, не смог повторно отправить данные. Главной особенностью было то, что я не спрашивал как правильно, а спросил коротко, как бы каждый из вас сделал бы в данной ситуации, если бы такую цель поставил бы КЛИЕНТ. А всё то, что это неправильно, и я тут несу истину, а кругом свиньи - не было в моих словах вообще.

а если просто поставить каптчу?

Эли4ка
а что капча меня за руку схватит - когда я полезу F5 нажимать?

Игорь_Vasinsky
рекапча хватает...)))

ну что за мода готовое хватать. прям лего-программисты.

twin
Я же ответил одному человеку, а не всем Ок, в следующий раз буду в личку писать, чтобы не было всяких левых подозрений вроде "99% истолковывается именно так".
К тому же я не озвучил свои гнусные цели, поэтому неизвестно, зачем я это всё делал.

---

Спустя 3 минуты, 38 секунд inpost написал(а):

---

twin
К тому же если пробежаться по ответам, то видно и хеш-защита, и капча. Разве эти стандартные методы выше чем "пределы разумного"? Мне кажется наоборот, это более адекватные ответы.

---

Спустя 8 минут, 49 секунд inpost написал(а):

---

Игорь_Vasinsky
Ты попросил, чтобы не игнорировал я:

1. таймаут на любую запись в БД по session_id() секунды на 3-4
(у меня стоял тайм-аут около минуты, всё равно кто-то умудрился продублировать запись!).
2. и потом header + exit
(тоже было)

но если юзер захочет законным путём продублировать свой мессадж - то
4. сравнить текст + session_id с записью в БД (последней)
(В связи с особенностью вышеизложенного сайта, я так и реализовал в частном случае проблему. В других местах использовал другие способы).

А где пункт 3?!

а чем те таймаут на запись в БД не канает? админки нахрена мне в админке защита от себя

Игорь_Vasinsky
Да это тролль один. Обычно под анонимами троллит, а в этой теме закрыт доступ анонимам, вот он и создал акк для этого Не обращай внимание на тех, кто будет автоматически баниться/удаляться.

У меня ТТ, там такая же беда, в общем решил редиректом, а потом еще и дописал проверку по конкретному сообщению. Если уже есть такое сообщение в БД, ошибка.
Причем проверка будет по всем трем полям. Так как многие любят писать одно слово "Спасибо" в комментах к разным файлам.
Прежде чем проверять обрабатываем переменную в POSTe


Просмотрел некоторые ответы.
Считаю капчу в комментах - злом! Это отпугивает многих. И лично меня тоже.
Я хочу написать пару слов и тут на тебе, сиди глаза ломай и вводи символы...

Я делаю так:

if(isset($_POST['text']) and trim($_POST['text']) !== "" and $_SESSION['tehpod_text']!==$_POST['text'])
{
    echo "Сообщение добавленно.<br><br>";
    mysql_query("
        INSERT INTO `t_mess` SET 
        `text`       = '".$_POST['text']."',
        `id_user`  = ".$id_user.",
        `id_topic` = ".$id_topic."
    ");
    $_SESSION['tehpod_text']=$_POST['text'];
}
	
<form action="" method="post">
  <textarea name="text"></textarea>
  <br />
  <input type="submit" />
</form>

как вы смотрите на этот вариант?

12345
хранить в сессии большие тексты не есть гуд.

ну а чтож тогда еще делать? надоже както защищатся от F5

Проще всего постить ajax'ом, тогда по сути и от F5 защищаться не надо...

Как-то так :)

<?php
    $error = array();
    if(isset($_POST['text'])) {
        include_once 'config.php';
        $text=mysql_real_escape_string($_POST['text']);
        if(strlen($text) > 0){
            $id_user = 1;
            $id_topic = 1;
            $query="INSERT INTO `t_mess` 
                    SET  `text`= '".$text."', 
                        `id_user`  = ".$id_user.", 
                        `id_topic` = ".$id_topic;
            if(mysql_query($query)) {
                header("Location: ".$_SERVER['PHP_SELF']);
            } else {
                $error[] = mysql_error();
            }
         } else {
            $error[] = "Не ввели текст";             
         }
    }
?>

<form action="" method="post">
  <textarea name="text"></textarea>
  <br />
  <input type="submit" />
</form>

<?php
    if(count($error) > 0){
        foreach ($error as $value) {
            echo $value;
        }
    }
?>

С Новым Годом :)

h.n.81

и что это даст? Еще один POST не придет при нажатии на обновить?

Мне кажется...вообще способа нормального кроме редиректа и последующего уничтожения сессии не может быть. Хром запоминает поля...какой-нибудь humen-simulator можно настроить на хром, который будет постоянно так делать.

Можно либо считать попытки....но все это ерунда, единственный способ - капча.

h.n.81
после header("Location: ".$_SERVER['PHP_SELF']); нужно останавливать скрипт, нет смысла выводить контент вместе с заголовком редиректа. Плюс нельзя показывать ошибки mysql_error() посетителям, это уже можно расценивать как уязвимость. Но и опять же, о защите от CSRF никто не думает

killer8080

Объясни почему капча лишний способ от редиректа?

Капча не сработала, обработчик POST не работает что не так?

<?php header('Location: http://mesite.com'); ?>

killer8080

Да, точно ...я просто не понял о чем речь идет

Редирект или nginx