如何防止PHP秒杀系统的页面重复提交问题
格兰特 上传于 2021-07-12 02:53
《如何防止PHP秒杀系统的页面重复提交问题》
在电商秒杀场景中,系统需要承受瞬时高并发请求,而页面重复提交是导致超卖、数据错乱等问题的主要原因之一。本文将从前端拦截、后端验证、数据库优化三个层面,系统阐述PHP秒杀系统中防止重复提交的完整解决方案。
一、前端拦截方案
前端拦截是防止重复提交的第一道防线,通过技术手段限制用户短时间内多次点击提交按钮。
1.1 按钮禁用技术
在用户点击提交按钮后立即禁用按钮,防止二次点击。示例代码如下:
// HTML部分
// JavaScript部分
function submitOrder() {
const btn = document.getElementById('submitBtn');
btn.disabled = true; // 禁用按钮
btn.innerText = '处理中...';
fetch('/api/seckill', {
method: 'POST',
body: JSON.stringify({productId: 123})
}).then(response => {
// 处理响应
});
}该方案实现简单,但存在被绕过的风险(如用户禁用JS或通过工具模拟请求)。
1.2 Token验证机制
前端生成唯一Token,后端验证Token有效性。实现步骤如下:
1)页面加载时生成Token:
// PHP生成Token
session_start();
if (empty($_SESSION['seckill_token'])) {
$_SESSION['seckill_token'] = bin2hex(random_bytes(32));
}
$token = $_SESSION['seckill_token'];2)表单提交时携带Token:
3)后端验证Token:
// 验证逻辑
session_start();
if ($_POST['token'] !== $_SESSION['seckill_token']) {
die('非法请求');
}
// 验证通过后销毁Token
unset($_SESSION['seckill_token']);1.3 验证码增强方案
结合图形验证码或滑动验证码,增加自动化脚本攻击成本。推荐使用第三方服务如极验、腾讯云验证码等。
二、后端验证体系
前端拦截不可靠,必须通过后端进行多重验证。
2.1 请求唯一性校验
基于用户ID+商品ID+时间戳生成唯一请求标识:
function generateRequestHash($userId, $productId) {
$timestamp = floor(microtime(true) * 1000);
return md5($userId . '_' . $productId . '_' . $timestamp . '_' . $_SERVER['HTTP_USER_AGENT']);
}存储已处理请求的Hash到Redis,设置5秒过期:
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$requestHash = generateRequestHash($_SESSION['user_id'], $productId);
if ($redis->get($requestHash)) {
die('请勿重复提交');
}
$redis->setex($requestHash, 5, 1);2.2 数据库乐观锁
在库存表中增加version字段,更新时校验版本号:
// 初始库存表结构
CREATE TABLE product_stock (
id INT PRIMARY KEY,
product_id INT UNIQUE,
stock INT,
version INT DEFAULT 0
);更新时使用CAS操作:
$pdo = new PDO('mysql:host=localhost;dbname=seckill', 'user', 'pass');
$stmt = $pdo->prepare("SELECT stock, version FROM product_stock WHERE product_id = ? FOR UPDATE");
$stmt->execute([$productId]);
$row = $stmt->fetch();
if ($row['stock'] prepare("UPDATE product_stock SET stock = stock - 1, version = version + 1
WHERE product_id = ? AND version = ?");
$affected = $updateStmt->execute([$productId, $row['version']]);
if ($affected === 0) {
die('操作失败,请重试'); // 版本冲突
}2.3 分布式锁实现
在分布式环境中使用Redis实现锁机制:
function acquireLock($redis, $lockKey, $expire = 10) {
$identifier = uniqid();
$end = time() + $expire;
while (time() set($lockKey, $identifier, ['nx', 'ex' => $expire])) {
return $identifier;
}
usleep(100000); // 等待100ms
}
return false;
}
function releaseLock($redis, $lockKey, $identifier) {
$script = "
if redis.call('get', KEYS[1]) == ARGV[1] then
return redis.call('del', KEYS[1])
else
return 0
end
";
return (bool)$redis->eval($script, [$lockKey, $identifier], 1);
}使用示例:
$lockKey = 'seckill_lock_' . $productId;
$identifier = acquireLock($redis, $lockKey);
if (!$identifier) {
die('系统繁忙,请稍后再试');
}
try {
// 执行业务逻辑
$pdo->beginTransaction();
// ...库存扣减操作...
$pdo->commit();
} catch (Exception $e) {
$pdo->rollBack();
} finally {
releaseLock($redis, $lockKey, $identifier);
}三、数据库层优化
即使通过应用层控制,仍需数据库层面保障数据一致性。
3.1 事务隔离级别
建议使用REPEATABLE READ或SERIALIZABLE隔离级别:
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
$pdo->beginTransaction();
try {
// 查询库存
$stmt = $pdo->query("SELECT stock FROM product_stock WHERE product_id = $productId FOR UPDATE");
$stock = $stmt->fetchColumn();
if ($stock > 0) {
$pdo->exec("UPDATE product_stock SET stock = stock - 1 WHERE product_id = $productId");
// 创建订单等其他操作
}
$pdo->commit();
} catch (Exception $e) {
$pdo->rollBack();
throw $e;
}3.2 队列削峰方案
将秒杀请求写入消息队列,异步处理:
// 使用Redis List作为队列
$redis = new Redis();
$redis->connect('127.0.0.1', 6379);
$data = [
'user_id' => $_SESSION['user_id'],
'product_id' => $productId,
'time' => time()
];
$redis->lPush('seckill_queue', json_encode($data));消费者端处理逻辑:
while (true) {
$data = $redis->rPop('seckill_queue');
if (!$data) {
sleep(1);
continue;
}
$order = json_decode($data, true);
// 验证库存等业务逻辑
// ...
}3.3 预减库存策略
活动开始前将库存加载到Redis,减少数据库压力:
// 活动预热阶段
$stocks = $pdo->query("SELECT product_id, stock FROM product_stock WHERE activity_id = 123")->fetchAll(PDO::FETCH_ASSOC);
$redis = new Redis();
foreach ($stocks as $item) {
$redis->set('seckill_stock_' . $item['product_id'], $item['stock']);
}扣减时直接操作Redis:
$redis->watch('seckill_stock_' . $productId);
$current = $redis->get('seckill_stock_' . $productId);
if ($current > 0) {
$redis->multi();
$redis->decr('seckill_stock_' . $productId);
$redis->exec();
} else {
$redis->unwatch();
}四、综合防护方案
实际系统中应组合使用多种方案:
前端:按钮禁用+Token验证+验证码
网关层:Nginx限流(如limit_req模块)
应用层:请求唯一性校验+分布式锁
数据层:事务+队列削峰+预减库存
典型处理流程:
1. 用户请求到达 → 2. 验证Token有效性 → 3. 检查Redis请求黑名单 → 4. 获取分布式锁 →
5. 验证Redis库存 → 6. 异步入队 → 7. 消费者处理(事务内扣减数据库库存+创建订单)五、性能优化建议
Redis连接池:避免频繁创建销毁连接
批量操作:使用pipeline减少网络开销
缓存预热:活动前加载热点数据
降级策略:库存不足时返回友好提示而非错误
监控告警:实时监控队列积压、锁等待等情况
关键词:PHP秒杀系统、重复提交、Token验证、分布式锁、Redis队列、乐观锁、前端拦截、数据库事务
简介:本文系统阐述了PHP秒杀系统中防止页面重复提交的完整解决方案,涵盖前端拦截技术、后端验证体系、数据库优化策略三个层面,详细介绍了Token验证、分布式锁、乐观锁、消息队列等关键技术的实现方式,并提供了综合防护方案和性能优化建议。
