验证码被绕过的处理方法_PHP教程
程序员文章站
2023-12-23 19:34:45
...
我们先来分析下,有验证码发布的流程
1,显示表单
2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie
3,用户提交表单
4,核对验证码无误,数据合法后 写入数据库教程完成
1,显示表单
2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie
3,用户提交表单
4,核对验证码无误,数据合法后 写入数据库教程完成
用户如果再发布一条,正常情况下,会再次访问表单页面,验证码图片被动 更新, session 和 cookie 也就跟着变了
但是灌水机操作 不一定非要使用表单页面,它可以直接 模拟post 向服务端程序 发送数据;这样验证码程序没有被调用,当然session和cookie存储的加密验证码就是上次的值,也就没有更新,这样以后无限次的通过post直接发送的数据 ,而不考虑验证码,验证码形同虚设!
所以,在核对验证码后 先将 session和cookie的值清空,然后做数据合法性判断,然偶入库!
这样 一个漏洞就被补上了!
if ( md5($_post['vcode']) == $_session['vcode'] ) {
$_session['vcode']='';//这句非常重要
} else {
exit '验证码不对!';
}
//接下来的处理
......
?>
生成验证码图片的程序
session_start();
......
$v = new authcode();
$vcode = $v->getauthcode();
$_session['vcode'] = md5($vcode );
........
?>
表单页面
验证码是怎样被绕过的
推荐阅读
-
php+mysqli使用预处理技术进行数据库查询的方法,mysqli预处理_PHP教程
-
PHP 图像处理与SESSION制作超简单验证码的方法示例
-
PHP 图像处理与SESSION制作超简单验证码的方法示例
-
解析关于java,php以及html的所有文件编码与乱码的处理方法汇总_PHP教程
-
PHP自定义异常处理器的几种使用方法_PHP教程
-
PHP处理二进制数据的实现方法,php处理二进制数据_PHP教程
-
destoon出现验证码不显示时的紧急处理方法_PHP
-
thinkPHP3.1验证码的简单实现方法,thinkphp3.1验证码_PHP教程
-
thinkPHP中验证码的简单使用方法,_PHP教程
-
destoon出现验证码不显示时的紧急处理方法_php实例