PHP對驗證碼的認證過程文章重點為告訴各位如何防止機器注冊這個問題了,下面我們一起來看看例子,希望對各位有幫助.

這段時間在寫php腳本，接觸到web前端以及web安全問題比較多，這時給大家簡單地談一下我們網站驗證碼的驗證過程及其安全問題。

從三個方面去談一下關于驗證碼的使用:驗證碼的生成，驗證的過程，驗證中注意的安全問題。

驗證碼的生成，首先還是要說說驗證碼的作用。眾所周知，驗證碼的存在，是為了防止一些機器，或是刷惡意留言、無限注冊用戶或是暴力破解賬號密碼。現在普通的驗證碼是由一個php腳本生成的，比如打開我們emlog的include/lib/文件夾，底下有個checkcode.php，這就是生成驗證碼的腳本。

我們可以簡單看一下它的代碼:

1. session_start(); 
2. $randCode = ''; 
3. $chars = 'abcdefghijkmnpqrstuvwxyzABCDEFGHIJKLMNPRSTUVWXYZ23456789'; 
4. for ( $i = 0; $i < 5; $i++ ){ 
5.  $randCode .= substr($chars, mt_rand(0, strlen($chars) - 1), 1); 
6. } 
7. $_SESSION['code'] = strtoupper($randCode); 
8. $img = imagecreate(70,22); 
9. $bgColor = isset($_GET['mode']) && $_GET['mode'] == 't' ? imagecolorallocate($img,245,245,245) : imagecolorallocate($img,255,255,255); 
10. $pixColor = imagecolorallocate($img,mt_rand(30, 180), mt_rand(10, 100), mt_rand(40, 250)); 
11. for($i = 0; $i < 5; $i++){ 
12.  $x = $i * 13 + mt_rand(0, 4) - 2; 
13.  $y = mt_rand(0, 3); 
14.  $text_color = imagecolorallocate($img, mt_rand(30, 180), mt_rand(10, 100), mt_rand(40, 250)); 
15.  imagechar($img, 5, $x + 5, $y + 3, $randCode[$i], $text_color); 
16. } //Vevb.com 
17. for($j = 0; $j < 60; $j++){ 
18.  $x = mt_rand(0,70); 
19.  $y = mt_rand(0,22); 
20.  imagesetpixel($img,$x,$y,$pixColor); 
21. } 
22. header('Content-Type: image/png'); 
23. imagepng($img); 
24. imagedestroy($img); 

第一個for循環在$chars這個字符串中隨機取了5個字符，這實際上就是我們的真實驗證碼。然后我們可以看到：$_SESSION['code'] = strtoupper($randCode); 他把我們的驗證碼轉換成大寫賦值到session里了。

有的朋友要問，問什么賦值到SESSION里了不賦值到COOKIE里。這就說明你對他們二者關系不了解。cookie和session都作為網站臨時保存客戶端相關信息的一個“容器”，但是cookie是保存在客戶端里的，也就是網站的訪問者可以隨意查看和修改cookie里的內容，那就沒有驗證碼存在的意義了，因為用戶可以直接從cookie中讀到驗證碼，當然機器也可以。而session是保存在服務器上的內容，我生成好的驗證碼，用戶不可能讀取到。

再看源碼，后面的兩個循環分別是生成彩色的帶驗證碼的圖片和在圖片上加噪點。是為了加大機器識別驗證碼的難度。最后我們看到,header('Content-Type: image/png'); 把我們這個頁面定義成為圖片的格式。

這樣,我們就可以用html代碼來讓驗證碼顯示出來:

<img src="checkcode.php" />

類似這樣:

那么驗證的過程就是，我們首先生成5個隨機字符，保存到session里。然后把這5個字符畫成一個圖片給用戶看，讓用戶識別，填寫在表單里提交后和我們session里的驗證碼比對。

其實就是這么簡單。

最后來說說驗證碼的安全性。我們emlog和wordpress其實驗證碼并不是很強大，我們這個簡單的驗證碼可以寫一個小腳本很容易地識別，所以并不適合比較大型的網站使用。像類似騰訊、百度這種網站的驗證碼很多字符能旋轉、扭曲，并且背影上的干擾物更多，甚至是中文驗證碼。不過對于小型網站來說，普通等級的驗證碼足矣防范很多刷評論的機器。

還有一點很重要，注意驗證碼使用過后要記住刪除相應的session。否則驗證碼就失去了其意義，這也是我之前犯過的錯誤。

為什么這么說。作為一個正常用戶，我們每訪問一次需要填寫驗證碼的頁面，生成驗證碼的腳本都會執行一次，也就說會生成一個新驗證碼賦值到session里，沒有任何問題。但對于一個機器(或一個暴力破解密碼腳本)，它第一次訪問需要填寫驗證碼的頁面，然后在session中得到一個驗證碼，它以后就不用再次訪問這個頁面了。直接把第一次的數據包更改并再次發送即可，于是，如果沒有清除session的網站，每次的驗證碼都和第一次相同，也就喪失了驗證碼的本來作用。

這是我們做網站需要注意的地方。希望大家在寫程序的時候多注意網站的安全性，避免在網站發布后出現問題

通過網上的一些實例,拼湊出一個驗證碼登陸測試程序,詳細代碼如下:

生成驗證碼程序ttt.php,通過random生成隨機數,然后保存在session里：

login.htm頁面

1. <html> 
2. <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> </head> 
3. <title>login</title> 
4. <style type="text/css"> 
5. <!-- 
6. .textbox { 
7. height: 18px; 
8. width: 100px; 
9. } 
10. .text { 
11. font-size: 14px; 
12. vertical-align: bottom; 
13. color: #0000FF; 
14. } 
15. .style1 { 
16. font-size: 18px; 
17. color: #0000FF; 
18. font-family: "幼圓"; 
19. } 
20. --> 
21. </style> 
22. </head> 
23. <body> 
24. <table width="200"> 
25. <tr><td align="center" valign="bottom" class="style1" bgcolor="#C7D3F9">請輸入驗證碼</td> 
26. </tr> 
27. </table> 
28. <form method="post" action="login.php"> 
29. <table width="200" border="0" bgcolor="C7D3F9"> 
30.   <tr> 
31.     <td class="text">驗證碼：</td> 
32.     <td align="right" valign="bottom"><input type="text" name="auth" class="textbox"></td> 
33.   </tr> 
34. </table> 
35. <img src="ttt.php?act=yes" align="middle"> 
36. <table width="200"><tr><td align="right"><input type="button" value="看不清楚驗證碼" onclick="window.location.reload();"><input name="submit" type="submit" value="Submit"></td></tr></table> 
37. </form> 
38. </body> 
39. </html> 

login.php

1. <?php 
2. session_start(); 
3. $name = $_POST['user']; 
4. $password = $_POST['passwd']; 
5. $auth = $_POST['auth']; 
6. #require("db.php"); 
7. #$db = new db(); 
8. #$sql = "select * from user where name = '$name' and password = '$password'"; 
9. #$result = $db->query($sql); 
10. if($_SESSION['seccode'] == $auth) 
11. { 
12.   #$_SESSION['user'] = $name; 
13.   #$_SESSION['passwd'] = $password; 
14.  # header("Location: main.php"); 
15. #echo ("登錄成功!"); 
16. $_SESSION['seccode']=''; 
17.   print ' 
18.   <script language=javascript> 
19.    alert("登錄成功！"); 
20.   </script>'; 
21. }else 
22. { 
23.   print ' 
24.   <script language=javascript> 
25.    alert("登錄失敗，請重新登錄！"); 
26.    self.window.location="login.html"; 
27.   </script>'; 
28. } 
29. ?> 

ttt.php驗證碼生成程序

1. <?php 
2. session_start(); 
3. function random($length, $numeric = 0) { 
4.  mt_srand((double)microtime() * 1000000); 
5.  if($numeric) { 
6.   $hash = sprintf('%0'.$length.'d', mt_rand(0, pow(10, $length) - 1)); 
7.  } else { 
8.   $hash = ''; 
9.   $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz'; 
10.   $max = strlen($chars) - 1; 
11.   for($i = 0; $i < $length; $i++) { 
12.    $hash .= $chars[mt_rand(0, $max)]; 
13.   } 
14.  } 
15.  return $hash; 
16. } 
17. #if(preg_replace("/https?:////([^/://]+).*/i", "//1", $_SERVER['HTTP_REFERER']) != preg_replace("/([^/:]+).*/", "//1", $_SERVER['HTTP_HOST'])) { 
18. # exit('Access Denied'); 
19. #} 
20.  
21. //if($_GET['update']) { 
22.  $seccode = random(4, 1); 
23. //} 
24. #if($seccode < 1 || $seccode > 9999) { 
25. # exit('Access Denied'); 
26. #} 
27. $_SESSION['seccode'] = $seccode; 
28. $seccode = sprintf('%04d', $seccode); 
29. if(!$nocacheheaders) { 
30.  @header("Expires: -1"); 
31.  @header("Cache-Control: no-store, private, post-check=0, pre-check=0, max-age=0", FALSE); 
32.  @header("Pragma: no-cache"); 
33. } 
34. if(function_exists('imagecreate') && function_exists('imagecolorset') && function_exists('imagecopyresized') && function_exists('imagecolorallocate') && function_exists('imagesetpixel') && function_exists('imagechar') && function_exists('imagecreatefromgif') && function_exists('imagepng')) { 
35.  $im = imagecreate(62, 25); 
36.  $backgroundcolor = imagecolorallocate ($im, 255, 255, 255); 
37.  $numorder = array(1, 2, 3, 4); 
38.  shuffle($numorder); 
39.  $numorder = array_flip($numorder); 
40.  for($i = 1; $i <= 4; $i++) { 
41.   $imcodefile = 'seccode/'.$seccode[$numorder[$i]].'.gif'; 
42.   $x = $numorder[$i] * 13 + mt_rand(0, 4) - 2; 
43.   $y = mt_rand(0, 3); 
44.   if(file_exists($imcodefile)) { 
45.    $imcode = imagecreatefromgif($imcodefile); 
46.    $data = getimagesize($imcodefile); 
47.    imagecolorset($imcode, 0 ,mt_rand(50, 255), mt_rand(50, 128), mt_rand(50, 255)); 
48.    imagecopyresized($im, $imcode, $x, $y, 0, 0, $data[0] + mt_rand(0, 6) - 3, $data[1] + mt_rand(0, 6) - 3, $data[0], $data[1]); 
49.   } else { 
50.    $text_color = imagecolorallocate($im, mt_rand(50, 255), mt_rand(50, 128), mt_rand(50, 255)); 
51.    imagechar($im, 5, $x + 5, $y + 3, $seccode[$numorder[$i]], $text_color); 
52.   } 
53.  } 
54.  $linenums = mt_rand(10, 32); 
55.  for($i=0; $i <= $linenums; $i++) { 
56.   $linecolor = imagecolorallocate($im, mt_rand(0, 255), mt_rand(0, 255), mt_rand(0, 255)); 
57.   $linex = mt_rand(0, 62); 
58.   $liney = mt_rand(0, 25); 
59.   imageline($im, $linex, $liney, $linex + mt_rand(0, 4) - 2, $liney + mt_rand(0, 4) - 2, $linecolor); 
60.  } 
61.  for($i=0; $i <= 64; $i++) { 
62.   $pointcolor = imagecolorallocate($im, mt_rand(50, 255), mt_rand(50, 255), mt_rand(50, 255)); 
63.   imagesetpixel($im, mt_rand(0, 62), mt_rand(0, 25), $pointcolor); 
64.  } 
65.  $bordercolor = imagecolorallocate($im , 150, 150, 150); 
66.  imagerectangle($im, 0, 0, 61, 24, $bordercolor); 
67.  header('Content-type: image/png'); 
68.  imagepng($im); 
69.  imagedestroy($im); 
70. } else { 
71.  $numbers = array 
72.   ( 
73.   0 => array('3c','66','66','66','66','66','66','66','66','3c'), 
74.   1 => array('1c','0c','0c','0c','0c','0c','0c','0c','1c','0c'), 
75.   2 => array('7e','60','60','30','18','0c','06','06','66','3c'), 
76.   3 => array('3c','66','06','06','06','1c','06','06','66','3c'), 
77.   4 => array('1e','0c','7e','4c','2c','2c','1c','1c','0c','0c'), 
78.   5 => array('3c','66','06','06','06','7c','60','60','60','7e'), 
79.   6 => array('3c','66','66','66','66','7c','60','60','30','1c'), 
80.   7 => array('30','30','18','18','0c','0c','06','06','66','7e'), 
81.   8 => array('3c','66','66','66','66','3c','66','66','66','3c'), 
82.   9 => array('38','0c','06','06','3e','66','66','66','66','3c') 
83.   ); 
84.  for($i = 0; $i < 10; $i++) { 
85.   for($j = 0; $j < 6; $j++) { 
86.    $a1 = substr('012', mt_rand(0, 2), 1).substr('012345', mt_rand(0, 5), 1); 
87.    $a2 = substr('012345', mt_rand(0, 5), 1).substr('0123', mt_rand(0, 3), 1); 
88.    mt_rand(0, 1) == 1 ? array_push($numbers[$i], $a1) : array_unshift($numbers[$i], $a1); 
89.    mt_rand(0, 1) == 0 ? array_push($numbers[$i], $a1) : array_unshift($numbers[$i], $a2); 
90.   } 
91.  } 
92.  $bitmap = array(); 
93.  for($i = 0; $i < 20; $i++) { 
94.   for($j = 0; $j < 4; $j++) { 
95.    $n = substr($seccode, $j, 1); 
96.    $bytes = $numbers[$n][$i]; 
97.    $a = mt_rand(0, 14); 
98.    switch($a) { 
99.     case 1: str_replace('9', '8', $bytes); break; 
100.     case 3: str_replace('c', 'e', $bytes); break; 
101.     case 6: str_replace('3', 'b', $bytes); break; 
102.     case 8: str_replace('8', '9', $bytes); break; 
103.     case 0: str_replace('e', 'f', $bytes); break; 
104.    } 
105.    array_push($bitmap, $bytes); 
106.   } 
107.  } 
108.  for($i = 0; $i < 8; $i++) { 
109.   $a = substr('012', mt_rand(0, 2), 1) . substr('012345', mt_rand(0, 5), 1); 
110.   array_unshift($bitmap, $a); 
111.   array_push($bitmap, $a); 
112.  } 
113.  $image = pack('H*', '424d9e000000000000003e000000280000002000000018000000010001000000'. 
114.    '0000600000000000000000000000000000000000000000000000FFFFFF00'.implode('', $bitmap)); 
115.  header('Content-Type: image/bmp'); 
116.  echo $image; 
117. } 
118. ?>