php验证码防止外网直接访问
来源:互联网 发布:网络投资电信诈骗 编辑:程序博客网 时间:2024/05/20 23:55
2015-04-23 12:16:58
今天查看里sae上部署的项目,突然看到sae的日志,发现有几个异常链接在请求验证码,于是突然萌发出要做一个防止验证码抓取功能。此功能可以防止验证码的盗用和破解,防止不必要的恶意攻击和破解。
思路如下:
在验证码生成类调用之前对访问链接进行验证
1.验证访问来自与那个页码
2.其次验证访问地址
解决步骤:
1.利用php自带的功能来判断验证码的访问是否来自与某个页码基本是不现实的,php中貌似没有这个功能(我是没有找到),所以我们只能利用php实现间接的判断,这里我们用session来验证是否来自与页码,因为需要用到的验证码的页面很少,所以我们设置session的地方也不是太多,相对来说还是可以接受的。
具体代码(大家可以根据自己的需要修改此处只提供一个思想):
例如
1.在 需要加载验证码的页面(或者controller层函数中)设置$_SESSION['check']=true;
2.在调用验证码之前调用验证
基本上通过这两步操作,就可以对验证码进行限制了,在本例中通过外网访问网站时验证码会正常显示,但是通过外网直接访问或者抓取验证码时会被拒绝,通过本地访问验证码一切正常。
今天查看里sae上部署的项目,突然看到sae的日志,发现有几个异常链接在请求验证码,于是突然萌发出要做一个防止验证码抓取功能。此功能可以防止验证码的盗用和破解,防止不必要的恶意攻击和破解。
思路如下:
在验证码生成类调用之前对访问链接进行验证
1.验证访问来自与那个页码
2.其次验证访问地址
解决步骤:
1.利用php自带的功能来判断验证码的访问是否来自与某个页码基本是不现实的,php中貌似没有这个功能(我是没有找到),所以我们只能利用php实现间接的判断,这里我们用session来验证是否来自与页码,因为需要用到的验证码的页面很少,所以我们设置session的地方也不是太多,相对来说还是可以接受的。
2.验证访问地址,这个就比较简单里,我们可以用php提供的 $_SERVER函数,取出访问地址。
3.在验证码生成之后设置session中验证值,使其下次不能再验证。
具体代码(大家可以根据自己的需要修改此处只提供一个思想):
例如
1.在 需要加载验证码的页面(或者controller层函数中)设置$_SESSION['check']=true;
2.在调用验证码之前调用验证
<?php/** * Created by PhpStorm. * User: wangyaofeng * Date: 15-4-23 * Time: 上午9:36 *//** * 检测访问的ip是否为规定的允许的ip * Enter description here ... *///ip地址的验证用户根据自己的需求改变function check_ip(){ $ALLOWED_IP=array('127.0.0.1'); $IP=getIP(); $check_ip_arr= explode('.',$IP);//要检测的ip拆分成数组 #限制IP if(!in_array($IP,$ALLOWED_IP)) { foreach ($ALLOWED_IP as $val){ if(strpos($val,'*')!==false){//发现有*号替代符 $arr=array();// $arr=explode('.', $val); $bl=true;//用于记录循环检测中是否有匹配成功的 for($i=0;$i<4;$i++){ if($arr[$i]!='*'){//不等于* 就要进来检测,如果为*符号替代符就不检查 if($arr[$i]!=$check_ip_arr[$i]){ $bl=false; break;//终止检查本个ip 继续检查下一个ip } } }//end for if($bl){//如果是true则找到有一个匹配成功的就返回 return; die('success'); } } }//end foreach header('HTTP/1.1 403 Forbidden'); echo "Access forbidden"; die; }}function getIP() { return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"] :(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"] :$_SERVER["REMOTE_ADDR"]);}if(!$_SESSION['check']){ check_ip();}//重新设置验证码的值$_SESSION['check'] = false;
基本上通过这两步操作,就可以对验证码进行限制了,在本例中通过外网访问网站时验证码会正常显示,但是通过外网直接访问或者抓取验证码时会被拒绝,通过本地访问验证码一切正常。
如图:
本机访问
外网访问
外网访问登录
外网访问
外网访问登录
0 0
- php验证码防止外网直接访问
- [PHP]如何防止用户从地址栏直接访问后台页面
- 防止用户直接访问url
- php 数值运算验证码 防止破解
- 在php原始执行环境里,防止跨过权限直接访问php文件
- Discuz!X3.1-x3.2 admin.php 防止直接恶意访问
- Discuz!论坛教程之修改admin.php防止直接恶意访问
- 防止用户通过地址栏直接访问主页
- php--- 验证表单,防止csrf
- php禁止浏览器直接访问
- 如何防止 直接 访问 网页 或 越权 访问网页
- php中将验证变量,,防止非法变量
- javaweb 简单验证过滤器防止未登录直接进入主页
- java项目防止跨站访问防止越过登录直接访问
- php define防止恶意访问某些模块
- 防止用户不登陆直接输入网址访问页面
- 防止未登录的用户直接重写URL访问系统
- 防止用户不登陆直接输入网址访问页面收藏
- 有窗口的编程
- 移动设备访问电脑网页
- 记事本程序中字体菜单项界面出现错误
- 字符串比较 多实例
- Lua自定义方式加载模块
- php验证码防止外网直接访问
- Android开发--RecyclerView使用,看AndroidL新特性
- STL之顺序容器
- Cocos2d-JS 热更新
- openstack学习笔记 --- nova 客户端管理安全组security group
- 15第七周项目二——图形用户界面程序开发之测测你和他(她)的生日差几天
- android webview正确显示音标
- 会场安排问题
- POJ 1308Is It A Tree? 并查集求解