个人中心
gpt4 book ai didi

PHP 验证码 CAPTCHA

转载 作者:可可西里 更新时间:2023-11-01 12:34:41 30 4
gpt4 key购买 nike

我经营一个游戏网站,所以我有很多用户登录,他们可以每两分钟做一次某些事情。

我在某些地方有一个 CAPTCHA 系统,对于某些东西,它总是要求输入代码,而对于其他东西,它会每 10 分钟询问一次。

我有一些玩家在 Opera 上使用自动提交功能,我的验证码系统确实阻止了他们。

我的问题是,如何才能最大限度地减少请求代码的次数,同时又能阻止人们使用此自动提交功能?

最佳答案

如果我理解正确的话,这个任务不需要验证码。我假设您想查看用户是否确实点击了自己,坐在他的 PC 前。

新想法

在您的表单上提交多个图像:

<input type="image" name="send1" src="buttons.php?i=1" />
...
<input type="image" name="send8" src="buttons.php?i=8" />

生成表单时,获取 1 到 8 之间的随机数并将其保存在 $_SESSION['submitnumber'] 中.创建两个相同大小的图像 - 一个空白填充表单中的默认背景,另一个看起来像提交按钮。创建将使用以下代码输出图像的 buttons.php:

header("Content-Type: image/jpeg");
flush();
readfile($filename);

如果 $_GET[i]!=$_SESSION['submitnumber'] 返回空图像否则返回提交图像。

如果单击了正确的图像提交,则接受表单(当用户单击按钮时,浏览器将向您发送坐标,如 send1X)

这是一种验证码,但人们不会知道 ;)

老想法

你需要两件事:

1 为非常独特的表单生成 token 。

<input type="hidden" name="timertoken" value="someweirdstring" />并生成“someweirdstring”作为一些(用户名和时间)依赖的东西的 md5 散列。我可以对此进行详细说明,但这是用于安全和 CSRF 攻击阻止的基本形式 token 。 token 在发布后得到验证。

例子:

不是 token 机制的典型实现,但足够了。

$token=generatesomerandomtext();
$_SESSION['token']=$token; 

//... somewhere later when outputing forms:    
echo '<input type="hidden" name="token" value="'.$token.'" />';

//and when it comes back:
if($_POST['token']==$_SESSION['token']) {
   //it's ok
   }

这就是您所需要的。这个简单的示例为每个页面创建一个唯一的标记并放入表单中。它不依赖于时间,也不使用 md5,但将 token 存储在 session 中。要自动发送可以接受的表格,此人必须使用您生成的表格或复制 token 。

真实形式的 token 示例更像这样: $token=md5($username.'some secret text'.$date.$timeRoundedTo10Minutes);

//... somewhere later when outputing forms:    
echo '<input type="hidden" name="token" value="'.$token.'" />';

//and when it comes back:
if(
 ($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes)) ||
 ($_POST['token']==md5($username.'some secret text'.$date.$timeRoundedTo10Minutes-10minutes)) ) {
   //it's ok
   }

为什么是用户名?因为它消除了使用一个用户的 token 来攻击另一个用户的可能性为什么要 secret 文本(称为“盐”)?因为有人可以将其他用户的名字与时间粘在一起并执行 md5,但他不能猜盐。为什么要进行两次比较?因为如果现在是 22:44:59 - token 是在 22:40 生成的,如果用户发送它是 22:45:30,所以它会四舍五入到 22:50,并且只有当你将它收回 10 分钟时它才与 token 匹配.

这就是一个基本示例。有关引用,请参阅 this问题。

2 将您的提交按钮更改为 <input type="image" ...因为它发布了单击按钮的位置的 x 和 y 坐标。我不知道是谁在规范中提出了这个,但这是第一次可以使用! :)

现在看看用户是否点击了自己 你只需要看看坐标是否存在(经典提交不会发送它们)并阻止简单的黑客攻击你也可以记住玩家 session 中的最后一个 x 和 y 并进行比较.破解它以每次发送不同的坐标要困难得多。

表单标记用于防止用户准备带有随机字段的您的表单副本,这些字段会模拟点击坐标。如果 token 每次都更改,则很难覆盖表单字段。

这仍然可以通过用户脚本功能进行破解,但要困难得多。而且,如果您每小时添加一次验证码,没有人会费心编写只能在一个小时内提供帮助并在此之后中断的脚本(并且需要一些努力和知识)。

关于PHP 验证码 CAPTCHA,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2599815/

30 4 0
文章推荐: php fputcsv 和封闭字段
文章推荐: c - Visual C++ 2008 Express 的 C 编译器在磁盘上的什么位置?
文章推荐: php-openID 不适用于雅虎
文章推荐: c - 获取由 CreateProcess() 启动的进程的 PID
可可西里
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com