2015-04-23 12:16:58
今天查看里sae上部署的項目��,突然看到sae的日志��,發現有幾個異常鏈接在請求驗證碼��,于是突然萌發出要做一個防止驗證碼抓取功能。此功能可以防止驗證碼的盜用和破解��,防止不必要的惡意攻擊和破解��。
思路如下:
在驗證碼生成類調用之前對訪問鏈接進行驗證
1.驗證訪問來自與那個頁碼
2.其次驗證訪問地址
解決步驟:
1.利用php自帶的功能來判斷驗證碼的訪問是否來自與某個頁碼基本是不現實的��,php中貌似沒有這個功能(我是沒有找到)��,所以我們只能利用php實現間接的判斷��,這里我們用session來驗證是否來自與頁碼��,因為需要用到的驗證碼的頁面很少,所以我們設置session的地方也不是太多��,相對來說還是可以接受的��。
2.驗證訪問地址��,這個就比較簡單里��,我們可以用php提供的 $_SERVER函數��,取出訪問地址��。
3.在驗證碼生成之后設置session中驗證值,使其下次不能再驗證��。
具體代碼(大家可以根據自己的需要修改此處只提供一個思想):
例如
1.在 需要加載驗證碼的頁面(或者controller層函數中)設置$_SESSION['check']=true;
2.在調用驗證碼之前調用驗證
<?php/** * Created by PhpStorm. * User: wangyaofeng * Date: 15-4-23 * Time: 上午9:36 *//** * 檢測訪問的ip是否為規定的允許的ip * Enter description here ... *///ip地址的驗證用戶根據自己的需求改變function check_ip(){ $ALLOWED_IP=array('127.0.0.1'); $IP=getIP(); $check_ip_arr= explode('.',$IP);//要檢測的ip拆分成數組 #限制IP if(!in_array($IP,$ALLOWED_IP)) { foreach ($ALLOWED_IP as $val){ if(strpos($val,'*')!==false){//發現有*號替代符 $arr=array();// $arr=explode('.', $val); $bl=true;//用于記錄循環檢測中是否有匹配成功的 for($i=0;$i<4;$i++){ if($arr[$i]!='*'){//不等于* 就要進來檢測,如果為*符號替代符就不檢查 if($arr[$i]!=$check_ip_arr[$i]){ $bl=false; break;//終止檢查本個ip 繼續檢查下一個ip } } }//end for if($bl){//如果是true則找到有一個匹配成功的就返回 return; die('success'); } } }//end foreach header('HTTP/1.1 403 Forbidden'); echo "Access forbidden"; die; }}function getIP() { return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"] :(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"] :$_SERVER["REMOTE_ADDR"]);}if(!$_SESSION['check']){ check_ip();}//重新設置驗證碼的值$_SESSION['check'] = false;
基本上通過這兩步操作��,就可以對驗證碼進行限制了,在本例中通過外網訪問網站時驗證碼會正常顯示��,但是通過外網直接訪問或者抓取驗證碼時會被拒絕��,通過本地訪問驗證碼一切正常��。
如圖:
本機訪問
外網訪問
外網訪問登錄
PHP編程 鄭重聲明:本文版權歸原作者所有��,轉載文章僅為傳播更多信息之目的��,如作者信息標記有誤��,請第一時間聯系我們修改或刪除��,多謝��。
