这个PHP验证码脚本有什么问题?

时间:2012-07-05 09:39:26

标签: php session captcha

我已经使用这个脚本很长一段时间了,99%的效果非常好。这对用户来说简单明了,我想继续使用它。

然而,偶尔稀疏用户告诉我系统在数字正确时不接受他的验证码(错误的代码)。每次我一直在查看他们的cookie设置,清除缓存等,但在这些情况下似乎没有任何工作。

我的问题是,这个脚本的代码中是否有任何理由可以解释特殊情况下的故障?

session_start();

$randomnr = rand(1000, 9999);
$_SESSION['randomnr2'] = md5($randomnr);

$im = imagecreatetruecolor(100, 28);
$white = imagecolorallocate($im, 255, 255, 255);
$grey = imagecolorallocate($im, 128, 128, 128);
$black = imagecolorallocate($im, 0,0,0);

imagefilledrectangle($im, 0, 0, 200, 35, $black);

$font = '/img/captcha/font.ttf';

imagettftext($im, 30, 0, 10, 40, $grey, $font, $randomnr);
imagettftext($im, 20, 3, 18, 25, $white, $font, $randomnr);

// Prevent caching
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past3
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");

header ("Content-type: image/gif");

imagegif($im);
imagedestroy($im);

在我的表单中,我将此脚本称为验证码图像的来源。发送表单后,以这种方式检查验证码:

if(md5($_POST['norobot']) != $_SESSION['randomnr2']) {
    echo 'Wrong captcha!';
}

请注意,在表单页面和表单结果页面上调用session_start();

如果有人能够在此脚本中查明潜在的错误原因,我将不胜感激!

P.S。:我知道验证码脚本的缺点。我知道某些机器人仍然可以读出它们。我不想使用Recaptcha,因为对我的用户来说太难了(不同语言+很多次老用户)。我也知道md5很容易解密。

编辑编辑编辑编辑编辑编辑编辑编辑编辑编辑编辑编辑编辑

根据UgoMéda的评论,我一直在做一些实验。这就是我创建的(为方便起见而简化):

表格

// Insert a random number of four digits into database, along with current time
$query   = 'INSERT INTO captcha (number, created_date, posted) VALUES ("'.rand(1000, 9999).'", NOW(),0)';
$result  = mysql_query($query);

// Retrieve the id of the inserted number
$captcha_uid = mysql_insert_id();

$output .= '<label for="norobot"> Enter spam protection code';
// Send id to captcha script
$output .= '<img src="/img/captcha/captcha.php?number='.$captcha_uid.'" />'; 
// Hidden field with id 
$output .= '<input type="hidden" name="captcha_uid" value="'.$captcha_uid.'" />'; 
$output .= '<input type="text" name="norobot" class="norobot" id="norobot" maxlength="4" required  />';
$output .= '</label>';

echo $output;

验证码脚本

$font = '/img/captcha/font.ttf';

connect();
// Find the number associated to the captcha id
$query = 'SELECT number FROM captcha WHERE uid = "'.mysql_real_escape_string($_GET['number']).'" LIMIT 1';
$result = mysql_query($query) or trigger_error(__FUNCTION__.'<hr />'.mysql_error().'<hr />'.$query);
if (mysql_num_rows($result) != 0){          
    while($row = mysql_fetch_assoc($result)){
        $number = $row['number'];
    }
} 
disconnect();

$im     = imagecreatetruecolor(100, 28);
$white  = imagecolorallocate($im, 255, 255, 255);
$grey   = imagecolorallocate($im, 128, 128, 128);
$black  = imagecolorallocate($im, 0,0,0);

imagefilledrectangle($im, 0, 0, 200, 35, $black);
imagettftext($im, 30, 0, 10, 40, $grey, $font, $number);
imagettftext($im, 20, 3, 18, 25, $white, $font, $number);

// Generate the image from the number retrieved out of database
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");
header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1
header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past3
header("Cache-Control: post-check=0, pre-check=0", false);
header("Pragma: no-cache");
header ("Content-type: image/gif");

imagegif($im);
imagedestroy($im);

表单的结果

function get_captcha_number($captcha_uid) {
    $query = 'SELECT number FROM captcha WHERE uid = "'.mysql_real_escape_string($captcha_uid).'" LIMIT 1';
    $result = mysql_query($query);
    if (mysql_num_rows($result) != 0){          
        while($row = mysql_fetch_assoc($result)){
            return $row['number'];
        }
    } 
    // Here I would later also enter the DELETE QUERY mentioned above...
}
if($_POST['norobot'] != get_captcha_number($_POST['captcha_uid'])) {
    echo 'Captcha error'
    exit;
}

这非常有效,所以非常感谢这个解决方案。

但是,我看到了一些潜在的缺点。我注意到至少有4个查询,并且对于我们正在做的事情感觉有点资源密集。此外,当用户多次重新加载同一页面时(只是为了混蛋),数据库会很快填满。当然,这将在下一个表单提交时被删除,但是,你可以和我一起讨论这个可能的选择吗?

我知道通常不应该加密/解密。但是,由于验证码本质上是有缺陷的(因为机器人的图像读数),我们不能通过加密和解密发送到captcha.php脚本的参数来简化过程吗?

如果我们这样做(the encrypt/decrypt instructions of Alix Axel之后):

1)加密一个随机的四位数字符,如下所示:

$key = 'encryption-password-only-present-within-the-application';
$string = rand(1000,9999);
$encrypted = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), $string, MCRYPT_MODE_CBC, md5(md5($key))));

2)将带有参数的加密号码发送到图像脚本并将其存储在隐藏字段中

<img src="/img/captcha.php?number="'.$encrypted.'" />
<input type="hidden" name="encrypted_number" value="'.$encrypted.'" />

3)解密验证码脚本中的数字(通过$ _GET发送)并从中生成图像

$decrypted = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode($encrypted), MCRYPT_MODE_CBC, md5(md5($key))), "\0");

4)再次解密表单上的数字以与用户输入进行比较     $ decrypted = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,md5($ key),base64_decode($ encrypted),MCRYPT_MODE_CBC,md5(md5($ key))),“\ 0”);
    if($ _ POST ['norobot']!= $ decrypted){         echo'Capscha error!';         出口;     }

同意,这有点“通过默默无闻”,但它似乎提供了一些基本的安全性,并且仍然相当简单。或者这种加密/解密操作本身是否过于耗费资源?

有没有人对此有任何评论?

2 个答案:

答案 0 :(得分:3)

不要只依赖SESSION值,原因有两个:

  • 您的会话可能会过期,因此在某些情况下无效
  • 如果用户打开另一个包含相同页面的标签页,则会产生奇怪的行为

使用某种令牌:

  • 在输出表单时生成随机ID,将其放入数据库中,并附上预期的数字(以及当前日期/时间)
  • 使用此ID生成您的图片
  • 使用ID
    • 在表单中添加隐藏的输入
  • 当您收到POST时,从数据库中获取预期值并进行比较
  • 删除此令牌和所有旧令牌(例如WHERE token == %token AND datetime < DATE_SUB(NOW(), INTERVAL 1 HOUR)

答案 1 :(得分:1)

有时候某些访问者可能会在代理之后,或者他们的计算机上有一个插件/软件可以对某些文件进行双重请求。我在开发我的项目时发现了这个,并且有一些我完全忘记的Chrome插件。

因为很少有访问者发生这种情况,所以可能就是这种情况。以下是我调试问题所遵循的步骤(请记住,这是一个开发环境,我能够直接在网站上修改代码):

当访问者报告问题时,为他们启用“调试”,这意味着我将他们的IP添加到验证码生成器的配置中的调试阵列。这将执行以下操作:

  1. 以微缩时格式获取图像的生成时间。
  2. 在文件系统的某个地方写入日志文件,每次请求访问验证码页面的格式类似于:ip | microtime | random_numbers
  3. 检查日志以查看用户IP地址发出的请求,并查看是否存在彼此约10秒范围内的任何关闭请求。如果有,那么有一些东西正在向您的验证码页面发出第二个请求,并且它正在生成一个访问者看不到的新代码。

    4. 此外,您需要确保在清除用户缓存后,用户在每次刷新页面时都会看到不同的数字。浏览器端可能存在奇怪的行为,但它可以显示旧的缓存副本(在Firefox上看到它,你必须清除缓存,重新启动浏览器,再次清除缓存然后它工作正常)。

    如果是这种情况,您可以对脚本执行基于时间的简单添加,执行以下操作:

    生成新的验证码图像时,请检查会话中是否已设置验证码。如果它们已经设置,请检查它们生成的时间以及是否小于10秒,只显示相同的数字。如果超过10秒,则显示新号码。这种方法唯一需要注意的是,每次使用时都必须在会话中取消设置验证码变量。

    示例代码为:

    <?php

// begin generating captcha:

session_start();

if (
   empty($_SESSION['randomnr2']) // there is no captcha set
   || empty($_SESSION['randomnr2_time'])  // there is no time set
   || ( time() - $_SESSION['randomnr2_time']  > 10 ) // time is more than 10 secs
) {
   $randomnr = rand(1000, 9999);
   $_SESSION['randomnr2'] = md5($randomnr);
   $_SESSION['randomnr2_time'] = microtime(true); // this is the time it was 
                                                  // generated. You can use it 
                                                  // to write in the log file
}


// ...
?>
相关问题
最新问题