PHP图片验证码实现含五步:一、captcha.php生成带干扰的4位随机码并存会话;二、HTML表单嵌入可点击刷新的验证码图及输入框;三、服务端校验并清空会话码;四、加时效(5分钟)和3次错误锁定;五、用GD+TrueType字体提升抗识别性。
如果您正在开发PHP网站并需要增强表单提交的安全性,图片验证码是一种常用且有效的手段。以下是实现PHP图片验证码的具体步骤:
一、创建验证码生成脚本
该步骤通过PHP动态生成包含随机字符的图像,并将验证码字符串存入会话中供后续验证使用。图像需具备干扰线、噪点和字体扭曲等基本防识别特征。
1、在项目目录下新建文件 captcha.php。
2、在文件开头启用会话:session_start();。
立即学习“PHP免费学习笔记(深入)”;
3、生成4位随机字母数字组合:$code = substr(str_shuffle('ABCDEFGHKLMNPQRSTUVWXYZ23456789'), 0, 4);。
4、将生成的验证码存入会话:$_SESSION['captcha_code'] = strtolower($code);。
5、设置HTTP头信息为图像类型:header('Content-Type: image/png');。
6、创建画布并绘制背景色、字符、干扰线及噪点,最后输出PNG图像并销毁资源。
二、在HTML表单中嵌入验证码图像
此步骤确保前端能正确加载动态生成的验证码图像,并提供用户输入框用于提交校验值。
1、在登录或注册表单中添加 。
2、为图像添加点击刷新功能,利用时间戳或随机数防止浏览器缓存。
3、在表单中插入文本输入框:。
4、确保该输入框的name属性值与后端校验时使用的键名一致。
三、服务端接收并验证用户输入
该步骤在表单提交后比对用户输入与会话中存储的验证码值,防止绕过前端校验。
1、在处理表单的PHP脚本(如login_check.php)顶部调用:session_start();。
2、获取用户提交的验证码值:$user_input = strtolower(trim($_POST['captcha'] ?? ''));。
3、读取会话中的原始验证码:$stored_code = $_SESSION['captcha_code'] ?? '';。
4、执行严格相等判断:if ($user_input === $stored_code) { /* 验证通过 */ }。
5、验证完成后立即清除会话中的验证码:unset($_SESSION['captcha_code']);。
四、增强安全性:添加有效期与错误次数限制
此步骤防止暴力破解,通过时间戳控制验证码有效时长,并记录失败尝试次数以触发临时锁定。
1、生成验证码时同时保存时间戳:$_SESSION['captcha_time'] = time();。
2、验证前检查是否超时(例如5分钟内有效):if (time() - ($_SESSION['captcha_time'] ?? 0) > 300) { /* 过期 */ }。
3、在会话中记录错误次数:$_SESSION['captcha_attempts'] = ($_SESSION['captcha_attempts'] ?? 0) + 1;。
4、当错误次数达到3次,拒绝后续验证请求:if (($_SESSION['captcha_attempts'] ?? 0) >= 3) { /* 拒绝验证 */ }。
5、验证成功后清除尝试计数:unset($_SESSION['captcha_attempts']);。
五、使用GD库替代方案:启用TrueType字体渲染
该方法提升验证码可读性与抗OCR能力,避免默认字体过于规则导致识别率升高。
1、确认PHP已启用GD扩展并支持FreeType:if (!extension_loaded('gd') || !function_exists('imagettftext')) { die('GD with FreeType required'); }。
2、准备一个.ttf字体文件(如arial.ttf),存放于项目fonts/目录下。
3、在captcha.php中指定字体路径:$font_file = __DIR__ . '/fonts/arial.ttf';。
4、使用imagettftext逐个绘制字符,配合随机角度、位置和颜色:imagettftext($image, $size, $angle, $x, $y, $color, $font_file, $char);。
5、确保字体文件路径可被Web服务器读取,且不暴露于公网直接访问路径。
