php你的验证码安全码?_php技巧

验证码的作用主要有防止暴力破解,防止恶意灌水,防止自动提交等,在这里我就不多说了。验证码的类型也有数字、字母等,甚至厉害点的还有中文的。但是不管你的验证码多么厉害,只要你在表单验证中存在如下的失误,你的验证码就形同虚设!

验证码的一般思路,就是每次登陆的地方访问一个脚本文件,该文件生成含验证码的图片并将值写入到Session里,提交的时候验证登陆的脚本就会判断提交的验证码是否与Session里的一致。

问题出现了,在登陆密码错误之后,我们不去访问生成验证图片的文件,那么如果Session中的验证码没有被清空,此时验证码就是跟上次的一样,辛辛苦苦构建的验证码机制就形同虚设了。

下面我们先来看一段有问题的代码:
登陆部分:

CODE:

<tr>
          <td>管理员姓名:< />td>
          <td><input type="text" name="username" />< />td>
      < />tr>
      <tr>
          <td>管理员密码:< />td>
          <td><input type="password" name="password" />< />td>
      < />tr>
            <tr>
          <td>验证码:< />td>
          <td><input type="text" name="captcha" onkeyup="pressCaptcha(this)" />< />td>
      < />tr>
      <tr>
      <td colspan="2" align="right">
      <img src="index.php?act=captcha&1628020115" width="145" height="20" alt="CAPTCHA" border="1" onclick= this.src="index.php?act=captcha&"+Math.random() style="cursor: pointer;" title="看不清?点击更换另一个验证码。" />
      < />td>
      < />tr>
?>
这里没什么问题,来看登陆验证的代码(我想这样的验证思路,也是大多数人都在用的吧):

CODE:

/*------------------------------------------------------ */
//-- 验证登陆信息
/*------------------------------------------------------ */
if ($_REQUEST['act'] == 'signin')
{
    include('../includes/cls_captcha.php');

   /* 检查验证码是否正确 */
   $validator = new captcha();
   if (!$validator->check_word($_POST['captcha']))
   {
       sys_msg($_LANG['captcha_error'], 1);
    }

    /* 检查密码是否正确 */
    $sql = "SELECT user_id, user_name, password, action_list FROM " .$ecs->table('admin_user'). 
            " WHERE user_name='$_POST[username]' AND password='" .md5($_POST['password']). "'";
    $row = $db->GetRow($sql);

    if ($row)
    {
        // 登录成功
        set_admin_session($row['user_id'], $row['user_name'], $row['action_list']);

        // 更新最后登录时间和IP
        $db->Execute("UPDATE " .$ecs->table('admin_user'). 
                    " SET last_time='" .date('Y-m-d H:i:s', time()). "', last_ip='" .real_ip(). "'".
                    " WHERE user_id=$_SESSION[admin_id]") OR die($db->ErrorMsg());

        if (isset($_POST['remember']))
        {
            setcookie('ECSCP[admin_id]',    $row[0], time() + 3600 * 24 * 360);
            setcookie('ECSCP[admin_pass]',  md5($row['password'] . $_CFG['hash_code']), time() + 3600 * 24 * 360);
        }

        header('location:./');
    }
    else
    {
        sys_msg($_LANG['login_faild'], 1);
    }
}
?>
问题就出在上面这段代码里,在检查密码错误之后,并没有更新验证码,这样我们就可以把登陆页面的验证码图片部分去掉,而只要用URL访问一下验证码的页面,就可以只提交用户名、密码、刚才得到的验证码实现暴力破解了,利用此方法,同样可以实现灌水,刷票等。
大家可以看下面的图片,增强点直观的认识。
'700')this.width='700';if(this.height>'700')this.height='700';" border=0>

解决方法:我们需要在检查密码错误后更新验证码,对于留言等类型的,还要在提交成功后更新验证码。

安全就是这样,我们总是想让自己的程序更安全,但是一般情况下,我们又总是走在常规思维里跳不出来,于是导致我们的程序出现了很多"非常规漏洞",或者叫做"缺陷",总之就是不完美。我写这篇文章除了指出上面这个问题之外,还希望大家都能行动起来,用"非常规"眼光,重新检查下自己的程序,把更多以前自己没有发现的小问题帖出来,让大家共同提高!

时间: 2024-09-16 03:52:18

php你的验证码安全码?_php技巧的相关文章

php实现汉字验证码和算式验证码的方法_php技巧

本文实例讲述了php实现汉字验证码和算式验证码的方法.分享给大家供大家参考.具体分析如下: 大家知道简单数字或者字母验证码很容易被破解,但是算式验证码或者中文汉字验证码不容易被破解, 所以建议大家在使用验证码的时候,尽量用算式验证码或者中文汉字验证码. 下面是我写的两种验证码代码,有用到的朋友可以参考下: 1.算式验证码: 复制代码 代码如下: <?php session_start(); header("Content-type: image/png"); $num1 = mt

PHP生成可点击刷新的验证码简单示例_php技巧

本文实例讲述了PHP生成可点击刷新的验证码.分享给大家供大家参考,具体如下: html文件: <html> <head> <title>验证码</title> </head> <script type="text/javascript"> function yanzheng(){ var im=document.getElementsByTagName("img"); im[0].src=&qu

如何使用PHP对网站验证码进行破解_php技巧

验证码的功能一般是防止使用程序恶意注册.暴力破解或批量发帖而设置的.所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素(防止OCR),由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能.学习验证码的破解/识别技术,不仅可以知道验证码的原理,而且可以让你知道怎样才能防止验证码被破解. 最常见的验证码主要有以下几种: 1.四位数字,随机的一数字字符串,最原始的验证码,验证作用几乎为零. 2.随机数字图片验证码.图片上的字符比较中规中矩,有的

php中文验证码实现方法_php技巧

本文实例讲述了php中文验证码实现方法.分享给大家供大家参考.具体分析如下: 先看如下效果图: 具体代码如下: <?php /********************************* * Code by Gently * 24/07/07 *严正声明:验证码为程序随机生成,"某种巧合"的词语组合属于正常现象 , *某些别有用心的人不要借题发挥! *Power by ZendStudio.Net *********************************/ ses

修改了一个很不错的php验证码(支持中文)_php技巧

php英文验证码captcha.class.php 复制代码 代码如下: <?php class Captcha { private $width; private $height; private $codeNum; private $code; private $im; function __construct($width=80, $height=20, $codeNum=4) { $this->width = $width; $this->height = $height; $t

php5 图片验证码实现代码_php技巧

GD库的函数 1,imagecreatetruecolor -----创建一个真彩色的图像 imagecreatetruecolor(int x_size,int y_size) //x表示宽,y表示高 2,imagecolorallocate 为一幅图像分配颜色(调色板) imagecolorallocate(resource image,int red,int green,int blue)//red,green,blue----三原色 3,imagestring 绘图函数 iamgestr

php中文字母数字验证码实现代码_php技巧

英文同数字 <?php Header("Content-type:image/png"); //定义header,声明图片文件,最好是png,无版权之扰;  //生成新的四位整数验证码 session_start();//开启session; $authnum_session = '';  $str = 'abcdefghijkmnpqrstuvwxyz1234567890';  //定义用来显示在图片上的数字和字母; $l = strlen($str); //得到字串的长度; 

php验证码生成代码_php技巧

验证码通常是用来安全保证我们网站注册或登录不被注入的,但为了更安全我们通常会生成一些混合验证码了,下面一起来看看例子. 在我们开发登录模块或者是论坛的灌水模块的时候,为了防止恶意提交,需要用到验证码,验证码就是用来区分人和机器的一种手段,当然这种手段不是万无一失,但总归会起到一些作用. 验证码的实现需要GD库的支持,没有开启GD库的童鞋需开启GD库,其实验证码的制作和使用非常的简单,仅仅只是需要4个步骤就可以搞定:创建验证码底图,显示验证码内容,增加干扰元素,输出验证码,下面我们来进行步骤拆分:

php生成动态验证码gif图片_php技巧

这是一个通过php生成的动态验证码图片的示例,重点是可以运行哦!下面先发下效果图: 下面是php生成动态验证码需要用到的相关类和函数. <?php /** *ImageCode 生成包含验证码的GIF图片的函数 *@param $string 字符串 *@param $width 宽度 *@param $height 高度 **/ function ImageCode($string='',$width=75,$height=25){ $authstr=$string?$string:((tim