没用的验证码

我们常常在提交页面设置验证码防止重复提交，但有些时候设置了验证码不一定有用，看看下面的例子： 实现用户注册的功能，需要提交以下字段：username,password,regCode，注册成功后跳转到登录页面，接受页面进行如下处理： if($_POST['regCode'] != $_SESSIO

我们常常在提交页面设置验证码防止重复提交，但有些时候设置了验证码不一定有用，看看下面的例子：

实现用户注册的功能，需要提交以下字段：username,password,regCode，注册成功后跳转到登录页面，接受页面进行如下处理：

if($_POST['regCode'] != $_SESSION['regCode']) {
    msg('验证码不一致');
}
$username = $_POST['username'];
$password = $_POST['password'];
if(! check_username($username)) {
    msg('用户名不合法');
}
if(! check_password($password))) {
    msg('密码不合法');
}
if(check_user_exists($username)) {
    msg('用户名已被占用');
}
if(! $this->user_model->save(array(
    'username' => $username,
    'password' => $password,
))) {
    msg('注册失败');
}
header("Location:login.php");

可以看到对用户名、密码都做了校验，且设置了验证码，那是不是就没问题了呢？可以看到服务端只做了验证码校验，但在使用完验证码后并未删掉验证码，这样在下次请求中验证码是否可以重复使用呢？
我们知道验证码通常情况下存储在SESSION中，只要SESSION中验证码不被删掉而客户端请求的CookieID相同，服务端会认为是同一个用户，根据同一个CookieID想必服务端还可以拿到验证码再次使用。
我们可以这个动作用程序来模拟，并尝试多次执行：

$cookie = 'PHPSESSID=pgfac511q271k5vvije46kf634';
$post_data = array(
    'username' => 'pp'.time(),
    'password' => time(),
    'regCode' => 'dksi',
);
$ch = curl_init("http://localhost/regist.php");
curl_setopt($ch, CURLOPT_HEADER, true);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($post_data));
curl_setopt($ch,CURLOPT_HTTPHEADER, array("Cookie: ".$cookie));
$rs = curl_exec($ch);
if(curl_errno($ch)) {
    throw new Exception('Curl Error:'.curl_error($ch));
}
curl_close($ch);
var_dump($rs);

我们只需要从浏览器上取到产生的cookie内容和显示的验证码即可，而这些通过ff或者chrome很容易就可以拿到。多次执行之后会发现数据库插入了多条记录，也就是验证码没有起到防刷的目的。同样，也可以在提交页面的时候尝试直接F5刷新，上面的逻辑则会提示用户名已被占用。

该问题产生的根本原因就是验证码使用一次之后还可以再次使用，所以解决也很简单，只需要在注册成功之后清掉验证码的值即可，再次请求时服务端session里已经没有该值了，验证码就校验不通过了。

这样的问题本属于很小的问题，但是在系统中不经意就发生了，不要让验证码变得毫无意义，等刷了几百万用户后才后知后觉^_^

原文地址：没用的验证码, 感谢原作者分享。