php防刷验证码

A. 实现php中图形验证码刷新的问题

首先要说明,浏览器对图片,JS等文件会进行缓存当浏览器访问图片的时候,浏览器会查看缓存中是否有这张图片如果有则使用缓存图片,没有则对服务器重新发起访问而浏览器判断是否存在缓存文件是通过文件的url进行识别的如果url不同,浏览器就会对服务器发起新的请求所有加上一个随机参数就能实现验证码图片的刷新因为随机数不同,所以url就不同,所以每次浏览器都会对验证码图片发起新的访问,达到刷新验证码的功能无论是img.src = "imgcode.php?"+Math.random();还是imgcode.php?tm="+Math.random();都是为了不要使用浏览器中图片缓存其中tm没有任何意思,你可以随便取你想要的名字甚至就像第一种情况不用给名字

B. php代码，关于验证码刷新的问题

第一：你要保证你的验证码生成程序生成的是可以刷新的，你可以打开sub/authcode.php 刷新看看那个图片会不会变，如果不会，在生成验证码的随机数前初始化一下种子：srand((double)microtime()*1000000);
尽管php 4.0以后不再需要初始化，但实践中，还是会碰到这里问题，所以初始化，万无一失。

第二，防止缓存，可以在输出验证码图片前，加上 头部缓存信息控制：

header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: post-check=0, pre-check=0', false);
header('Pragma: no-cache');
//这后面再输出验证码图片。

第三，由于浏览器有缓存，特别是图片，会缓存下来，导致不会刷新，所以你可以在 reloadcode()这里添加一个参数用来改变url，这样可以强制浏览器重新加载验证码图片，
比如：
<script>
function ReloadCode(){
document.getElementById('gylverify ').src='sub/authcode.php?id='+ Math.random() ;
}

万无一失，
</script>

C. php html关于局部刷新验证码图片的问题

这里把form提交表单改成ajax提交
将用户输入信息传递给deal.php 看你用post还是get还是getJSON的方式传递给deal。php
假设是用的post方式 那么trim($_POST['sub'])获取用户提交的验证码，和$_SESSION['str']//code.php中的验证码
对比，一致的话程序继续执行，需要跳转的话可以使用header（）或者《script》window。href=
如果不一致 echo “不一致”；
在之前的html页面中的ajax中就能获取到这个字符串“不一致” 如果不一致，重新调用code。php顶替原来的img标签就可以啦

D. 请问php怎样跳过这段验证码，对注册又完全没影响

除非你改程序，不然没办法。要不要网站有安全性可言么

E. php怎么实现无刷新验证验证码，最好有详细代码谢谢，还有在js中怎么限制表单提交

您可以使用AJAX提交表单
VAR HTTP_REQUEST = FALSE;

功能send_request（URL）{/ /初始化指定的处理程序发送请求的功能

HTTP_REQUEST = FALSE;

/ /开始初始化XMLHttpRequest对象

如果（window.XMLHttpRequest），{/ / Mozilla浏览器

HTTP_REQUEST =新的XMLHttpRequest（）;

如果（http_request.overrideMimeType）{/ /设置MIME类别

http_request.overrideMimeType（“text / xml的'）;

}

}

其他（window.ActiveXObject）{/ / IE浏览器

尝试{
> HTTP_REQUEST =新的ActiveXObject（“MSXML2.XMLHTTP）的;

}赶上（E）{

尝试{

HTTP_REQUEST =新的ActiveXObject（”Microsoft.XMLHTTP“）;

}赶上（E）{}

}

}

如果（HTTP_REQUEST）{/ /异常，创建一个对象实例失败

window.alert（“不能创建XMLHttpRequest对象实例“）;

返回FALSE;

} http_request.onreadystatechange =

的功能processRequestcc（）{

（http_request.readyState == 4）{/ /确定的状态对象（http_request.status == 200）{/ /信息已经成功返回，开始处理

警报（http_request.responseText）;

} {/ /页面不信

警报（“您请求的网页一个例外。”）;

}

}否则{/ /只要未读完整

}

} / /发送请求，以确定的方式和网址，以及是否同步执行的代码

http_request.open（“GET”，URL，真实）; http_request.send（空）;

}功能提交（）{ send_request1（难的程序URL）;/ /服务器处理，经营信件
}，然后提交页面按钮的onclick方法可以触发

F. 注册短信验证码，怎么防止别人恶意刷接口

• 普通自开发

发送时间间隔

设置同一个号码重复发送的时间间隔，一般设置为60-120秒。该手段可以在一定程度上防止短信接口被恶意攻击，且对用户体验没有什么伤害。但是不能防止黑客更换手机号进行攻击，防护等级较低。

获取次数限制

限制某个手机号在某个时间段内获取短信验证码次数的上限。采用这种策略时在产品设计过程中，有几点需要注意。

• 定义上限值。根据业务真实的情况，甚至需要考虑到将来业务的发展定一个合适的上限值，避免因用户无法收到短信验证码而带来的投诉。

• 定义锁定时间段。可以是24小时，可以是12小时、6小时。需要根据业务情况进行定义。

IP限制

设置单个IP地址某个时间段内最大的发送量。该手段可很好的预防单一IP地址的攻击，但是也有两个很明显的缺点：

• 对于经常变更IP地址进行攻击的黑客，该手段没有很好的效果。

• IP的限制经常会造成误伤。如在一些使用统一无线网的场所，很多用户连接着同一个无线网，这个IP地址就容易很快达到上限，从而造成连接该无线网的用户都无法正常的收到验证码。

图形验证码

在发送短信验证码之前，必须通过通过图形验证码的校验。这种手段相对来说可以防止某些攻击，因此也是目前非常普遍的短信防攻击机制。但是在使用过程中涉及到用户体验问题，不能简单粗暴地套用这一策略。以下几个点值得仔细考虑：

• 是不是每次获取短信验证码之前都需要用户输入图形验证码，一般来说这样做会极大地影响用户体验，虽然是相对安全，但是用户用着不爽了。

• 可以给一个安全范围。结合手机号限制、IP限制来考虑，比如同一个手机号当天第3次获取短信验证码的时候，出现图形验证码；比如同一个IP地址当天获取验证码次数超过100次后，出现图形验证码。

加密限制

通过对传向服务器各项参数进行加密，到了服务器再进行解密，同时用token作为唯一性识别验证，在后端对token进行验证，验证通过才能正常将短信发送。该手段可以在保证用户体验的情况下，可以有效防止某些攻击，因此也是目前比较常见的短信防攻击机制。同时也有很明显的缺点：

• 使用的加解密算法可能会被破解，需要考虑使用破解难度较大的加解密算法。

• 在算法不被破解的情况下可以有效防止报文攻击，但是无法防止浏览器模拟机式攻击。

以上是几种常见的短信风控策略，在具体的产品设计过程中，可以综合使用。

• 使用第三方防御

短信防火墙

为了在产品安全和优秀的用户体验之间寻找一个极佳的平衡。新昕科技的产品研发团队结合各种风控策略的优点研发出了一款短信防火墙。 从以下几个方面概括一下：

• 为保障优秀的用户体验，摈弃了目前影响用户体验最为严重的图形验证码等人机校验程序，做到无感验证。从而达到完美的用户体验。

• 结合用户的手机号码 、IP地址 、设备指纹三个唯一身份标识设置不同维度的风控策略。将各个维度之间相互配合，达到一个最为合理的风控限制指标。

• 根据业务情况自动伸缩风控限制，在检测处受攻击时自动加大风控限制力度，在正常是再归回到正常风控标准。

• 考虑到存在新老客户的区别，特意增加老客户VIP通道，在受到攻击时，风控指标紧缩的情况下，保证老客户通道畅通无阻，从而降低误伤率。

• 通过以上策略可以有防止黑客通过随意切换手机号及IP地址的方式可以刷取短信。同时加入模拟器检测，以及参数加密等风控策略，有效防止黑客攻击。

• 可通过风控防火墙控制台，实时观测风控结果，在受到攻击时达到第一时间预警的效果。

如需了解更多请关注新昕科技官网：newxtc.com

短信防火墙

短信防火墙

G. PHP注册关于刷新验证码的问题

验证码的作用是防止机器人频繁提交
本身就是不被建议的一种体验方式 而你这种使用随机数字来作为验证码的
根本对机器人一点防范都没有 而且也根本不存在看不清的效果

实际验证码一般都是图片 php使用示例
<img id="verifyImg" src="verify.php?uid=xxxxx" /><span onclick="chgVerify()"></span>

verify.php 这个是php生成图片的页面
uid=xxxxx 这个是随机字符串 防止缓存导致图片不发生改变

chgVerify() js函数
chgVerify()
{
document.getElementById('verifyImg').src='verify.php?uid='+Math.random();
}

验证码是把双刃剑 用之前先考虑是否非得要用

H. PHP网站短信验证码如何防止被刷

1、加验证码；2、加时间限制，间隔一定时间才能有效；3、数据库存储手机发送情况，如手机号，时间，IP；4、根据收集数据，判断是否刷机，禁用IP或者手机号等等，设置禁用时间5、根据实际情况，设置单天同个IP，手机号一天短信数量PHP网站短信验证码如何防止被刷

I. PHP中如何实现防刷新机制

最常见的防刷新肯定是在处理表单的时候，防止重复提交。我们有很多种方式来处理：1、提交表单之后，进行跳转，这是很常用的方式。如果你的表单是从index.php提交到post.php页面处理的，那么提交完之后可以跳转再回到index.php页面，这样再刷新就不会重复提交了。如果你是提交给当前页面处理，可以在提交之后再重新跳转到当前页面。2、使用验证码，也很常用。在提交表单数据之前先判断验证码，由于每提交一次，验证码就会变，所以这样是可以避免重复提交的。3、使用Ajax方式，毫无疑问可以避免刷新重复提交。以上讨论的是针对表单提交的防刷新，那么其他的防刷新呢？比如，我要统计一篇文章的点击数，我希望当用户刷新页面的时候，不进行统计,该怎么办呢？在此，站长只提供一种不完美的解决方案：即在当前的会话中，不统计重复载入。请看下面的代码：<?php session_start();if(!$_SESSION['sid']){ $_SESSION['sid']=session_id(); echo ‘您在此次会话中第一次浏览该页面，进行统计’;}else{echo ‘您已经在此次会话中浏览过该页面，不统计’; }?>当用户在第一次会话中访问页面时，进行统计，并把当前的会话id存在session，如果用户刷新或者从浏览器重新载入，由于在当前会话中已经访问过了，所以不会再次统计。但是，如果当用户关闭浏览器后再浏览，是会统计的。在此，站长也就文章统计是否有必要做得这么精确，说一些个人看法吧。用户浏览你网站的文章有这么几种方式：1、通过点击站内链接2、直接输入网址3、通过第三方的链接或者跳转这三种都构成正常的访问，是应该统计的。刷新，严格来说确实不应该算进统计中去，而且在多进程的浏览器中，用户打开新窗口重复输入网址也跟刷新差不多，而文章的真实访问量和重复刷新量之间的差距肯定是非常大的，所以即便是将刷新的次数算进统计中去，也不会产生太大的影响。上面的代码，实现了不完美的防刷新，但是却多出了额外的判断，而且使用session也是要消耗资源的。

J. 为什么PHP写的验证码会被暴力破解，如何能做到不被暴力破解呢还有验证码一定要依赖COOKIE和SESSION吗

验证码这个东西本身就是一个防止暴力破解的机制，用于区分机器和人的，跟用什么写的是没有关系的。你可以设置以下逻辑来防止验证码被破解：

1. 验证码更新机制，错误输入后换一个验证码

2. IP封锁机制，错误输入五次验证码后锁死相关IP