# 表單令牌 [上一頁](# "上一頁")[下一頁](# "下一頁") ThinkPHP支持表單令牌驗證功能，可以有效防止表單的重復提交等安全防護。 要啟用表單令牌功能，需要配置行為綁定，在應用或者模塊的配置目錄下面的行為定義文件tags.php中，添加： ~~~ return array( // 添加下面一行定義即可 'view_filter' => array('Behavior\TokenBuild'), // 如果是3.2.1版本 需要改成 // 'view_filter' => array('Behavior\TokenBuildBehavior'), ); ~~~ 表示在`view_filter`標簽位置執行表單令牌檢測行為。 表單令牌驗證相關的配置參數有： ~~~ 'TOKEN_ON' => true, // 是否開啟令牌驗證 默認關閉 'TOKEN_NAME' => '__hash__', // 令牌驗證的表單隱藏字段名稱，默認為__hash__ 'TOKEN_TYPE' => 'md5', //令牌哈希驗證規則 默認為MD5 'TOKEN_RESET' => true, //令牌驗證出錯后是否重置令牌 默認為true ~~~ 如果開啟表單令牌驗證功能，系統會自動在帶有表單的模板文件里面自動生成以**TOKEN_NAME**為名稱的隱藏域，其值則是**TOKEN_TYPE**方式生成的哈希字符串，用于實現表單的自動令牌驗證。 自動生成的隱藏域位于表單Form結束標志之前，如果希望自己控制隱藏域的位置，可以手動在表單頁面添加`{__TOKEN__}`標識，系統會在輸出模板的時候自動替換。 > 如果頁面中存在多個表單，建議添加標識，并確保只有一個表單需要令牌驗證。 如果個別頁面輸出不希望進行表單令牌驗證，可以在控制器中的輸出方法之前動態關閉表單令牌驗證，例如： ~~~ C('TOKEN_ON',false); $this->display(); ~~~ 模型類在創建數據對象的同時會自動進行表單令牌驗證操作，如果你沒有使用create方法創建數據對象的話，則需要手動調用模型的`autoCheckToken`方法進行表單令牌驗證。如果返回false，則表示表單令牌驗證錯誤。例如： ~~~ $User = M("User"); // 實例化User對象 // 手動進行令牌驗證 if (!$User->autoCheckToken($_POST)){ // 令牌驗證錯誤 } ~~~ [上一頁](# "上一頁")[下一頁](# "下一頁")