验证码被绕过的处理方法

我们先来分析下,有验证码发布的流程

1,显示表单 

2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie

3,用户提交表单

4,核对验证码无误,数据合法后,写入数据库完成,用户如果再发布一条,正常情况下,会再次访问表单页面,验证码图片被动更新,session 和 cookie 也就跟着变了,但是灌水机操作不一定非要使用表单页面,它可以直接模拟 post 向服务端程序发送数据;这样验证码程序没有被调用,当然session和cookie存储的加密验证码就是上次的值,也就没有更新,这样以后无限次的通过post直接发送的数据,而不考虑验证码,验证码形同虚设!

所以,在核对验证码后 先将 session和cookie的值清空,然后做数据合法性判断,然偶入库!这样 一个漏洞就被补上了!

  1. <?php 
  2. if ( md5($_post['vcode']) == $_session['vcode']  ) { 
  3.     $_session['vcode']='';//这句非常重要 
  4. else { 
  5.     exit '验证码不对!'
  6. //接下来的处理 
  7. …… 
  8. ?> 

生成验证码图片的程序

  1. <?php 
  2. session_start(); 
  3. …… 
  4. $v = new authcode(); 
  5. $vcode = $v->getauthcode(); 
  6. $_session['vcode'] = md5($vcode ); 
  7. …….. 
  8. ?> 

表单页面

  1. <form action="save.php" method="post"> 
  2. …… 
  3. <input type="text" name="vcode" size="4" /> <img src="vcode.php" alt="看不清请刷新页面" /> 
  4. </form> 

波比源码 – 精品源码模版分享 | www.bobi11.com
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 本站源码并不保证全部能正常使用,仅供有技术基础的人学习研究,请谨慎下载
8. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员!

波比源码 » 验证码被绕过的处理方法

发表评论

Hi, 如果你对这款模板有疑问,可以跟我联系哦!

联系站长
赞助VIP 享更多特权,建议使用 QQ 登录
喜欢我嘛?喜欢就按“ctrl+D”收藏我吧!♡