Éviter le renvoi d'un formulaire
Créez site13 en copiant site12.
- /cms
- ...
- site12
- site13
Dans ce chapitre, nous allons programmer la lecture d'un formulaire afin d'éviter de l'exécuter après un simple renvoi par un navigateur ou un robot.
Pour tester le résultat en ligne, entrez http://www.frasq.org/cms/site13/fr/contact dans la barre d'adresse de votre navigateur. Remplissez le formulaire et appuyez sur Envoyer. Le formulaire revient avec un message de confirmation. Le sujet et le texte du message sont effacés. Revenez à la page précédente dans l'historique du navigateur. La page affiche le formulaire avec le sujet et le texte du message que vous avez déjà envoyés. Cliquez sur Envoyer. Le formulaire revient inchangé et sans message de confirmation. Il n'a pas été exécuté une seconde fois.
Pour s'assurer que le dialogue est continu, non répété, le programme doit vérifier que le formulaire qui est reçu est le dernier qui a été envoyé. Un marqueur unique, aussi appelé un jeton, qui est sauvé dans la session, est ajouté au formulaire dans un champ caché, puis, quand le formulaire revient, le marqueur extrait du formulaire est comparé avec celui en mémoire. Si les valeurs ne correspondent pas, le formulaire n'est pas validé.
Ajoutez le fichier tokenid.php dans le dossier library avec le contenu suivant :
- /cms/site13
- library
- tokenid.php
- library
- function token_id() {
- return md5(uniqid(rand(), TRUE));
- }
token_id
retourne le hachage MD5 sur 32 octets de l'identifiant unique retourné par la fonction PHP uniqid
.
$ php -a
php > echo md5(uniqid(rand(), TRUE));
3018357bade6cfcab3d0b1abd51add45
Modifiez le fichier blocks/mailme.php qui définit la fonction mailme
qui génère le bloc du formulaire :
- require_once 'tokenid.php';
Charge le code de la fonction token_id
.
- $_SESSION['mailme_token'] = $token = token_id();
Enregistre dans la session le marqueur unique généré par la fonction token_id
.
- $mail=$subject=$message=$code=$token=false;
Initialise les variables lues dans le formulaire.
- if (isset($_POST['mailme_token'])) {
- $token=readarg($_POST['mailme_token']);
- }
Lit la valeur du jeton dans le formulaire.
- $bad_token=false;
Initialise la variable d'erreur qui contient le résultat du test du jeton.
- switch($action) {
- case 'send':
- if (!isset($_SESSION['mailme_token']) or $token != $_SESSION['mailme_token']) {
- $bad_token=true;
- break;
- }
Vérifie si le jeton en mémoire et le jeton du formulaire correspondent.
- switch($action) {
- case 'send':
- if ($bad_token or $missing_code or $bad_code or $missing_mail or $bad_mail or $missing_subject or $bad_subject or $missing_message) {
- break;
- }
N'exécute pas le formulaire si le jeton n'a pas été validé.
- $with_captcha=false;
- if ($with_captcha) {
- if (!$code) {
- $missing_code=true;
- break;
- }
- $captcha=isset($_SESSION['captcha']) ? $_SESSION['captcha'] : false;
- if (!$captcha or $captcha != strtoupper($code)) {
- $bad_code=true;
- break;
- }
- }
Rend le captcha optionnel. NOTE : L'utilisation d'un captcha rend un jeton redondant.
- $output = view('mailme', $lang, compact('token', 'with_captcha', 'mail', 'subject', 'message', 'errors', 'infos'));
Génère la vue en lui passant la valeur du jeton et l'option du captcha.
Remarquez que mailme
filtre l'adresse d'email avec la fonction strflat
:
- switch($action) {
- case 'send':
- if (isset($_POST['mailme_mail'])) {
- $mail=strtolower(strflat(strip_tags(readarg($_POST['mailme_mail'], true))));
- }
Ajoutez le fichier strflat.php dans le dossier library avec le contenu suivant :
- /cms/site13
- library
- strflat.php
- library
- function strflat($s) {
- $from = array(
- 'à', 'â', 'ä', 'á', 'ã', 'å',
- 'î', 'ï', 'ì', 'í',
- 'ô', 'ö', 'ò', 'ó', 'õ', 'ø',
- 'ù', 'û', 'ü', 'ú',
- 'é', 'è', 'ê', 'ë',
- 'ç', 'ñ',
- 'À', 'Â', 'Ä', 'Á', 'Ã', 'Å',
- 'Î', 'Ï', 'Ì', 'Í',
- 'Ô', 'Ö', 'Ò', 'Ó', 'Õ', 'Ø',
- 'Ù', 'Û', 'Ü', 'Ú',
- 'É', 'È', 'Ê', 'Ë',
- 'Ç', 'Ñ',
- );
- $to = array(
- 'a', 'a', 'a', 'a', 'a', 'a',
- 'i', 'i', 'i', 'i',
- 'o', 'o', 'o', 'o', 'o', 'o',
- 'u', 'u', 'u', 'u',
- 'e', 'e', 'e', 'e',
- 'c', 'n',
- 'A', 'A', 'A', 'A', 'A', 'A',
- 'I', 'I', 'I', 'I',
- 'O', 'O', 'O', 'O', 'O', 'O',
- 'U', 'U', 'U', 'U',
- 'E', 'E', 'E', 'E',
- 'C', 'N',
- );
- return str_replace($from, $to, $s);
- }
strflat
retourne $s
sans accents.
Modifiez la vue du formulaire, en français et en anglais, pour ajouter le jeton et gérer l'affichage optionnel du captcha :
- /cms/site13
- views
- en
- mailme.phtml
- fr
- mailme.phtml
- en
- views
- <form action="" method="post">
- <input type="hidden" name="mailme_token" value="<?php echo $token; ?>" />
Ajoute le champ caché mailme_token
au formulaire.
- <?php if ($with_captcha): ?>
- <img class="captcha" src="<?php echo $base_path; ?>/captcha" alt="" title="Code de vérification" />
N'affiche pas le captcha si $with_captcha
n'est pas true
.
Appliquez les mêmes modifications à la version en anglais :
- <?php if ($with_captcha): ?>
- <img class="captcha" src="<?php echo $base_path; ?>/captcha" alt="" title="Verification code" />
Pour envoyer le formulaire ou déplacer le focus d'un champ à un autre quand l'utilisateur appuie sur la touche Entrée, il faut un peu de code en Javascript. Ajoutez un dossier appelé js directement à la racine du site :
- /cms/site13
- js
Ajoutez le fichier tools.js dans le dossier js avec le contenu suivant :
- /cms/site13
- js
- tools.js
- js
- function focusonenter(e, id) {
- var keycode;
- if (window.event)
- keycode = window.event.keyCode;
- else if (e)
- keycode = e.which;
- else
- return true;
- if (keycode == 13) {
- var field = document.getElementById(id);
- if (field)
- field.focus();
- return false;
- }
- else
- return true;
- }
La fonction focusonenter
déplace le focus du navigateur sur la balise id
si un événement clavier avec le code 13
, la touche Entrée, a été détecté.
- function submitonenter(e, id) {
- var keycode;
- if (window.event)
- keycode = window.event.keyCode;
- else if (e)
- keycode = e.which;
- else
- return true;
- if (keycode == 13) {
- var button = document.getElementById(id);
- if (button)
- button.click();
- return false;
- }
- else
- return true;
- }
La fonction submitonenter
active le clic associé au bouton id
si un événement clavier avec le code 13
, la touche Entrée, a été détecté.
Modifiez les vues pour ajouter les appels aux fonctions focusonenter
et submitonenter
:
- <div class="fields">
- <p class="label">Quelle est votre adresse d'email ?</p>
- <p class="input"><input type="text" name="mailme_mail" id="mailme_mail" size="50" maxlength="100" title="Email" onkeypress="return focusonenter(event, 'mailme_subject')" value="<?php echo htmlspecialchars($mail, ENT_COMPAT, 'UTF-8'); ?>" /></p>
- <p class="info">Votre adresse d'email est strictement confidentielle.</p>
- <p class="label">Tapez le sujet et le texte de votre message :</p>
- <p class="input"><input class="monospace" type="text" name="mailme_subject" id="mailme_subject" size="60" maxlength="100" title="Sujet" onkeypress="return focusonenter(event, 'mailme_message')" value="<?php echo htmlspecialchars($subject, ENT_COMPAT, 'UTF-8'); ?>" /></p>
- <p class="input"><textarea class="monospace" name="mailme_message" id="mailme_message" cols="70" rows="8" title="Texte"><?php echo htmlspecialchars($message, ENT_COMPAT, 'UTF-8'); ?></textarea></p>
- <p class="input">
- <?php if ($with_captcha): ?>
- <img class="captcha" src="<?php echo $base_path; ?>/captcha" alt="" title="Code de vérification" />
- :
- <input type="text" name="mailme_code" id="mailme_code" size="4" maxlength="4" title="4 lettres" onkeypress="return submitonenter(event, 'mailme_send')" value="" />
- <?php endif; ?>
- </p>
- <p class="submit"><button type="submit" name="mailme_send" id="mailme_send">Envoyer</button></p>
- </div>
L'attribut onkeypress="return focusonenter(event, 'mailme_subject')"
du champ mailme_mail
déplace le focus sur le champ mailme_subject
.
Appuyer sur la touche Entrée dans le champ mailme_subject
passe au champ mailme_message
.
L'attribut onkeypress="return submitonenter(event, 'mailme_send')"
du champ mailme_code
envoie le formulaire si l'utilisateur appuie sur Entrée dans le champ de saisie du captcha.
Appliquez les mêmes modifications à la version en anglais :
- <div class="fields">
- <p class="label">What is your email address?</p>
- <p class="input"><input type="text" name="mailme_mail" id="mailme_mail" size="50" maxlength="100" title="Email" onkeypress="return focusonenter(event, 'mailme_subject')" value="<?php echo htmlspecialchars($mail, ENT_COMPAT, 'UTF-8'); ?>" /></p>
- <p class="info">Your email address is strickly confidential.</p>
- <p class="label">Type in the subject and the text of your message:</p>
- <p class="input"><input class="monospace" type="text" name="mailme_subject" id="mailme_subject" size="60" maxlength="100" title="Subject" onkeypress="return focusonenter(event, 'mailme_message')" value="<?php echo htmlspecialchars($subject, ENT_COMPAT, 'UTF-8'); ?>" /></p>
- <p class="input"><textarea class="monospace" name="mailme_message" id="mailme_message" cols="70" rows="8" title="Text"><?php echo htmlspecialchars($message, ENT_COMPAT, 'UTF-8'); ?></textarea></p>
- <p class="input">
- <?php if ($with_captcha): ?>
- <img class="captcha" src="<?php echo $base_path; ?>/captcha" alt="" title="Verification code" />
- :
- <input type="text" name="mailme_code" id="mailme_code" size="4" maxlength="4" title="4 letters" onkeypress="return submitonenter(event, 'mailme_send')" value="" />
- <?php endif; ?>
- </p>
- <p class="submit"><button type="submit" name="mailme_send" id="mailme_send">Send</button></p>
- </div>
Ajoutez le chargement du fichier js/tools.js directement dans la fonction run
définie dans le fichier library/engine.php :
- head('javascript', 'tools');
Entrez http://localhost/cms/site13/fr/contact dans la barre d'adresse de votre navigateur. Remplissez le formulaire en validant les champs avec Entrée. Appuyez sur Envoyer. Revenez en arrière dans l'historique. Renvoyez le formulaire et vérifiez qu'il n'a pas été exécuté une seconde fois.
Mettez $with_captcha
dans blocks/mailme.php à true
.
Rechargez le formulaire et remplissez-le. Validez le code de vérification avec Entrée pour envoyer le formulaire.
Commentaires