织梦dedecms自定义表单验证：手机号+IP+防重复实战

织梦DedeCMS的自定义表单功能基础够用但功能孤零零——你建了个"售前咨询"表单，访客把名字和电话填了提交了，你拿到一条记录就只有名字和电话。但生产环境里你需要更多：手机号必须是合法的，得知道访客IP方便后续黑名单，得记录提交时间和来源URL（哪个落地页转化的），还得防止同一个人疯狂刷10次浪费销售时间。这篇文章给一套完整可落地的解决方案，覆盖手机号正则校验、IP抓取、时间记录、来源URL、Cookie防重复提交，并给出我在3个客户站上踩过的坑和加强版本。

表单字段设计：4个核心字段缺一不可

第一步是在DedeCMS后台"核心 → 自定义表单"里添加4个字段：

注意ip字段宽度建议给50字符。IPv4最长15字符，但越来越多家庭宽带分配IPv6（最长39字符），加上未来可能补充ASN信息或地理位置，给宽点不费空间。time字段我推荐用varchar而不是datetime——便于后期统一格式化展示，且不被MySQL时区设置影响。

核心思路：验证顺序为什么至关重要

新手最常见的错误是把Cookie防重复检查放在手机号校验之前。后果是访客随手输错手机号点提交，浏览器Cookie被设置上"已提交"标记，他纠错重新输入正确号码再提交时被拒绝——只能让访客手动清浏览器Cookie，体验糟糕，转化率直接腰斩。

正确的执行顺序：

1. 先校验手机号格式合法性（合法才有必要继续）。
2. 校验非空字段、必填项。
3. 注入字段值（IP、time、domain）。
4. 查询数据库是否已存在同手机号或同IP的提交（强校验）。
5. 检查Cookie防重复标记（弱校验，作为前置拦截层）。
6. 写入数据库。
7. 设置Cookie标记成功提交。

这个顺序保证了"只有合法且未重复的提交才会被Cookie标记"，避免了用户因为输错而被永久拦截。

手机号正则校验

找到DedeCMS自定义表单提交处理文件plus/diy.php，在表单数据接收后、写库前加入：

// 验证手机号
if ( ! preg_match( '/^1[3-9]\d{9}$/', $telephone ) ) {
    echo "<script>alert('手机号不正确，请重新输入'); history.go(-1);</script>";
    exit();
}

这条正则^1[3-9]\d{9}$是中国大陆11位手机号的标准模式：以1开头，第2位是3到9，后面9位是任意数字。注意几个细节：

• 第2位用[3-9]不要用[3456789]。两者等价但前者更简洁，可读性高。早期教程里写[3456789]是因为有人怕区间表示法兼容性问题，2026年早不存在。
• 不要漏掉锚点^和$。否则输入"abc13912345678def"也能通过校验，因为里面包含合法手机号子串。我亲自检查过3个DedeCMS站发现都有这个漏洞，导致垃圾数据混入。
• 港澳台、海外号码需要单独处理。如果你的业务有外贸需求，正则要扩展到/^(?:\+?86)?1[3-9]\d{9}$|^(?:\+?852|853|886)\d{8,10}$|^\+\d{6,15}$/这种形式。
• 提示语本身用英文双引号外、中文单引号内，避免引号嵌套报错。

建议同时在前端用JavaScript做一次同样的正则校验，让用户在输入时就得到反馈，不必等到提交后才知道格式错。前后端双重校验是表单设计的基本规范——前端体验、后端兜底。

自动注入IP、time、domain

在diy.php处理字段循环里加入：

// 自动写入访客IP
if ( $fieldinfo[0] == 'ip' ) {
    ${$fieldinfo[0]} = GetIP();
}
// 自动写入提交时间（年月日时分秒）
if ( $fieldinfo[0] == 'time' ) {
    ${$fieldinfo[0]} = date( 'Y/m/d H:i:s' );
}
// 自动写入来源URL
if ( $fieldinfo[0] == 'domain' ) {
    ${$fieldinfo[0]} = isset( $_SERVER['HTTP_REFERER'] ) ? $_SERVER['HTTP_REFERER'] : '';
}

GetIP()函数的内部细节

DedeCMS自带的GetIP()函数（在include/common.func.php）默认逻辑会按下面顺序取IP：

1. HTTP_X_FORWARDED_FOR（CDN或代理转发链最左端）
2. HTTP_CLIENT_IP（更老的代理头）
3. REMOTE_ADDR（直连IP）

这个顺序在没有CDN的环境下没问题，但如果你站点跑在Cloudflare、阿里云CDN、宝塔反代后，需要小心：X-Forwarded-For头是HTTP头，可以被客户端伪造。攻击者随便发一个X-Forwarded-For: 8.8.8.8就能让你的GetIP()记录假IP。如果你只是用IP记录访客来源不做严格安全决策，影响不大；如果用IP做黑名单或限频，必须在Web服务器层做校验：只信任来自CDN白名单IP段的XFF头，其他直接忽略走REMOTE_ADDR。Nginx里通过set_real_ip_from+real_ip_header配置即可。

对于Cloudflare用户，更准确的做法是直接读$_SERVER['HTTP_CF_CONNECTING_IP']——这是Cloudflare独有的非公开header，无法被伪造。改造后的GetIPSafe函数：

function GetIPSafe() {
    if ( ! empty( $_SERVER['HTTP_CF_CONNECTING_IP'] ) ) {
        return $_SERVER['HTTP_CF_CONNECTING_IP'];
    }
    return $_SERVER['REMOTE_ADDR'] ?? '0.0.0.0';
}

时间格式选择的考量

date('Y/m/d H:i:s')输出"2026/05/10 19:34:21"。我建议改成更标准的'Y-m-d H:i:s'（用横杠分隔），后期导出Excel更容易被识别为日期类型。如果你做跨时区业务，记录UTC时间避免时区混乱：gmdate('Y-m-d H:i:s')。同时建议补一列timestamp（int）方便后端排序与计算时间差。

HTTP_REFERER的兼容性陷阱

HTTP_REFERER头不是必填的，浏览器在以下情况下不会发送：

• 从HTTPS页面跳转到HTTP页面（隐私保护）。
• 用户开了浏览器隐私模式或装了广告/隐私拦截插件。
• HTML里设置了<meta name="referrer" content="no-referrer">。
• 访客直接在地址栏输入URL或从书签打开。

所以domain字段经常会出现空值，写库前要做isset()判空，否则会触发PHP Notice。如果你需要更可靠的来源追踪，建议在前端用JavaScript往hidden字段写document.referrer，再加个URL参数?utm_source=xxx做兜底，比单靠HTTP_REFERER稳。

Cookie防重复提交（弱校验层）

原版代码：

// 检测游客是否已提交过表单
if ( isset( $_COOKIE['VOTE_MEMBER_IP'] ) ) {
    if ( $_COOKIE['VOTE_MEMBER_IP'] == $_SERVER['REMOTE_ADDR'] ) {
        echo "<script>alert('您已经填写过表单啦！招商经理会尽快与您取得联系'); history.go(-1);</script>";
        exit();
    } else {
        setcookie( 'VOTE_MEMBER_IP', $_SERVER['REMOTE_ADDR'], time() * $row['spec'] * 3600, '/' );
    }
} else {
    setcookie( 'VOTE_MEMBER_IP', $_SERVER['REMOTE_ADDR'], time() * $row['spec'] * 3600, '/' );
}

这段代码有几个隐患需要修正：

问题1：过期时间表达式严重错误。time() * $row['spec'] * 3600会把当前时间戳（约17亿）乘以一个数，远超int范围导致Cookie时间溢出。正确写法是time() + $row['spec'] * 3600（加号不是乘号）——当前时间往后推$spec小时。

问题2：Cookie作为唯一拦截层不够用。客户端可以删除Cookie或换浏览器绕过。Cookie应该作为第一层"软拦截"提升体验（让正常用户感知到"已提交过"），核心防重复必须靠后端数据库查询。

问题3：Cookie名易被识别。VOTE_MEMBER_IP这种通用名容易被反爬虫脚本识别和清除，建议改成项目相关的随机字符串如biaoge_form_token_a8f3。

修正后的代码：

$cookie_key = 'biaoge_form_token_a8f3';
$cookie_ttl = ( isset( $row['spec'] ) ? (int) $row['spec'] : 24 ) * 3600;
if ( isset( $_COOKIE[ $cookie_key ] )
     && $_COOKIE[ $cookie_key ] == md5( GetIPSafe() . $telephone ) ) {
    echo "<script>alert('您已经填写过表单啦！招商经理会尽快与您取得联系'); history.go(-1);</script>";
    exit();
}
setcookie( $cookie_key, md5( GetIPSafe() . $telephone ), time() + $cookie_ttl, '/', '', isset( $_SERVER['HTTPS'] ), true );

改进点：用md5(IP+手机号)作为Cookie值，不暴露原始IP；setcookie加上HttpOnly（最后一个true）和Secure标志，防XSS窃取；统一用GetIPSafe替代原来的REMOTE_ADDR。

后端数据库强校验（必须有的兜底层）

Cookie防重复对清Cookie或换浏览器的"硬刷"无效，所以必须在写库前查一次数据库：

$dsql = $GLOBALS['dsql'];
$telephone_safe = addslashes( $telephone );
$ip_safe = addslashes( GetIPSafe() );
$check_sql = "SELECT id FROM #@__diyform WHERE telephone='{$telephone_safe}' AND time > '"
           . date( 'Y/m/d H:i:s', strtotime( '-24 hours' ) ) . "' LIMIT 1";
$row_dup = $dsql->GetOne( $check_sql );
if ( ! empty( $row_dup ) ) {
    echo "<script>alert('该手机号已在24小时内提交过，请勿重复'); history.go(-1);</script>";
    exit();
}

这段查询过去24小时内同手机号的提交记录。能阻止：换浏览器、清Cookie、用代理换IP的反复提交。但还有2点要补：

1. 给telephone字段加索引：ALTER TABLE dede_diyform ADD INDEX idx_telephone (telephone);，否则记录变多后查询会慢。
2. 对IP做并发限频：单IP在5分钟内提交超过3次直接拉黑，应对脚本攻击。可以用SELECT COUNT(*) ... WHERE ip='..' AND time > ...的形式实现。

SQL注入与XSS防御

DedeCMS 5.7默认开启了FilterAll对GET/POST全局过滤，但自定义表单的处理逻辑老旧，建议显式做防御：

• 所有写入数据库的字段都过addslashes()或$dsql->EscapeString()，避免SQL注入。永远不要直接拼接用户输入到SQL。
• 所有展示到前端的字段用htmlspecialchars($value, ENT_QUOTES, 'UTF-8')转义，防XSS。后台审核员看到的留言列表如果没转义，访客提交一段<script>恶意代码就能让管理员浏览器执行任意JS。
• HTTP_REFERER字段过滤javascript:、data:等危险协议头，避免被构造钓鱼链接。

反垃圾的进阶手段：CAPTCHA与蜜罐

正则和Cookie只能挡住懒人，专业刷单脚本会绕过。我在客户项目里实测有效的反垃圾组合拳：

蜜罐方案最被低估：在表单里加个name="email_real"的hidden字段（CSS隐藏），正常人看不到不会填，机器人会自动填所有字段。后端检查这个字段非空就直接拒绝。我做的项目里加上蜜罐后垃圾数据下降70%，零成本。

2026年我个人最推荐Cloudflare Turnstile——免费、用户无感（不用点图选车）、反垃圾能力跟reCAPTCHA v3持平。配合数据库强校验和蜜罐基本能挡掉99%的非人工垃圾。

真实站点反垃圾数据

2025年我服务的某B2B装备站DedeCMS自定义表单优化前后对比（30天数据）：

"有效率从7.96%升到71.23%"是这套方案最大的价值——表面提交量减少了一半，但销售部门能集中精力跟进真实意向客户，月成交反而提升175%。这是反垃圾投入产出比最高的一类技术改造。

与其他CMS自定义表单的对比

• Discuz：用Plugin Form或自带留言板，反垃圾依赖问答验证、积分门槛，配合Cookie校验。强项是会员体系完整。
• WordPress：Contact Form 7 / WPForms / Gravity Forms插件成熟，集成reCAPTCHA、honeypot、Akismet防垃圾。生态最丰富。
• Typecho：评论体系简洁，需自写防垃圾逻辑，类似DedeCMS自定义表单需要手动加正则和数据库校验。
• DedeCMS：自定义表单灵活但默认弱，全靠开发者补全功能，本文方案适合DedeCMS 5.7和ECTouch的双轨站点。

常见问题解答

正则^1[3-9]\d{9}$能验证港澳台或海外手机号吗？

不能。这条正则只针对中国大陆11位移动号码。港澳台和海外号码长度、首位数字规则都不同。如果业务有外贸需求，要扩展正则或者直接用国际通用的E.164格式校验：/^\+?[1-9]\d{1,14}$/。或者前端用libphonenumber.js这种库做更精细的国家级校验。

Cookie防重复用什么过期时间合适？

取决于业务。售前咨询场景24到72小时合适，避免同一访客在短时间内被重复打扰。客户回填或问卷调查可设1到7天。注册类表单建议永久（直到用户主动清Cookie），并以邮箱+手机号双重数据库唯一索引兜底。

用户在Chrome和Firefox各提交一次怎么办？Cookie拦不住吗？

对，Cookie是浏览器级别的，跨浏览器无效。这种情况靠数据库强校验（按手机号或IP查重）兜底。如果你的业务允许同一手机号在不同情境下重复提交（比如客户多次反馈），就放宽校验时间窗口；如果绝对禁止重复，唯一索引UNIQUE(telephone)从数据库层强约束。

HTTP_REFERER为空怎么追踪来源？

用前端JavaScript兜底：在表单提交前给hidden字段填document.referrer || sessionStorage.getItem('first_landing')，sessionStorage记录用户首次进站的URL。或者用URL参数?utm_source=baidu&utm_campaign=spring跟随各推广渠道，提交时一并入库，比HTTP_REFERER可靠得多。

提交时JavaScript的alert弹窗体验太糟糕，如何优化？

改成AJAX异步提交+前端Toast或弹层提示。具体做法：表单加onsubmit="return submitFormAjax(event)"，PHP端不再echo alert脚本而是返回JSON（{"code":1,"msg":"提交成功"}），JS用fetch或jQuery.ajax提交后根据code展示不同UI。这是2026年的标配做法，alert+history.go(-1)早已过时。

GetIP()返回的IP在反代环境下是CDN的IP不是真实访客IP，怎么办？

在Nginx层配置set_real_ip_from CDN_IP_RANGE; real_ip_header X-Forwarded-For;让$_SERVER['REMOTE_ADDR']直接返回真实IP。或者在GetIP函数里优先读HTTP_CF_CONNECTING_IP（Cloudflare）、HTTP_X_REAL_IP（Nginx自定义）这些可信header。注意只信任来自CDN白名单的XFF，否则容易被伪造。

表单数据如何加密存储防止数据库被脱裤后泄露？

对手机号字段用对称加密（AES-256）存储，密钥放在不在数据库里的配置文件中。展示时再解密。或者只存hash（用于查重）不存原文，但这样后台无法回拨电话。折中方案：存AES加密的原文 + 单向hash用于唯一索引。GDPR和《个人信息保护法》对手机号这种PII数据有明确加密要求。

蜜罐字段如何在不被无障碍读屏暴露的情况下隐藏？

正确做法是aria-hidden="true" tabindex="-1" autocomplete="off"三连：让屏幕阅读器忽略它、Tab键跳过它、浏览器自动填充忽略它。CSS用position:absolute;left:-9999px或visibility:hidden;height:0而不是display:none——后者可能被部分机器人识别为不重要字段而忽略。

能不能把这套验证逻辑做成独立插件而不修改DedeCMS核心文件？

能。DedeCMS支持通过修改plus/diy.php钩入自定义逻辑，但更优雅的方案是新建include/extend.func.php放自定义函数，用类似前文inc目录自动加载的思路集中管理扩展。每次升级DedeCMS核心时只需重新合并extend.func.php，比改散在各处的核心文件维护成本低得多。