使用PHP生成验证码可有效防止表单恶意提交。通过GD库生成随机字符串并创建图像,设置背景与字体颜色,绘制验证码文字并添加噪点干扰,最后输出图片并将验证码值存入session供验证使用。
在网站开发中,防止表单被恶意频繁提交是一个重要安全需求。使用验证码(CAPTCHA)是一种常见且有效的方式。PHP 可以通过生成图形验证码并在表单提交时验证用户输入,来有效阻止机器人或脚本的自动提交行为。
生成验证码图片
PHP 可以利用 GD 扩展库动态生成验证码图像。以下是基本实现步骤:
1. 生成随机字符串: 创建一个 4-6 位的随机字符(数字、字母混合),作为验证码内容。
2. 创建画布: 使用 imagecreate() 创建图像资源。
3. 绘制背景与文字: 设置背景色、字体颜色,并将验证码写入图像。
4. 添加干扰元素: 加入噪点或线条,防止 OCR 识别。
5. 输出图像: 使用 header('Content-Type: image/png') 并调用 imagepng() 输出 PNG 图片。
6. 存储验证码值: 将生成的验证码文本保存到 session 中,供后续验证使用。
php
session_start();
$code = substr(str_shuffle('1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ'), 0, 4);
$_SESSION['captcha'] = $code;
$width = 120;
$height = 40;
$image = imagecreate($width, $height);
imagecolorallocate($image, 255, 255, 255); // 背景色
$text_color = imagecolorallocate($image, 0, 0, 0); // 字体色
// 添加字符
imagestring($image, 5, 30, 10, $code, $text_color);
// 添加噪点
for ($i = 0; $i $x = rand(0, $width);
$y = rand(0, $height);
imagesetpixel($image, $x, $y, $text_color);
}
// 输出图像
header('Content-Type: image/png');
imagepng($image);
imagedestroy($image);
?>
在表单中调用验证码
将生成的验证码图像嵌入 HTML 表单:
点击图片可刷新验证码,通过 JavaScript 修改 src 添加时间戳避免缓存。
立即学习“PHP免费学习笔记(深入)”;
验证用户输入
在处理表单的 PHP 文件中(如 check.php),比对用户输入与 session 中存储的验证码:
session_start();
if (empty($_POST['captcha'])) {
die("请输入验证码");
}
if (strtolower($_POST['captcha']) !== strtolower($_SESSION['captcha'])) {
die("验证码错误");
}
// 验证通过,继续处理表单逻辑
echo "提交成功";
?>
注意:验证码验证后建议立即清除 session 值,防止重复使用。
增强安全性建议
为了提升防护效果,可以采取以下措施:
- 设置验证码有效期(如 5 分钟),超时失效
- 限制同一 IP 短时间内请求验证码次数
- 使用更复杂的字体或扭曲函数提高识别难度
- 结合 Token 机制,防止 CSRF 攻击
- 考虑使用 Google reCAPTCHA 等第三方服务,减轻服务器负担
