花太香齐的博客 » 验证码 http://www.ieliwb.com 灵感的来临,没有任何预兆;灵感的消失,也不会有告别仪式;用文字记下她们吧,让灵感永存…… Sun, 21 Nov 2010 03:36:35 +0000 http://wordpress.org/?v=2.9.2 en hourly 1 关于PHP算术运算验证码的研究 http://www.ieliwb.com/php-math-checked/ http://www.ieliwb.com/php-math-checked/#comments Mon, 18 May 2009 14:31:00 +0000 花太香齐 http://www.ieliwb.com/?p=92 最近2天在研究验证码,看了很多,不外乎图片,算术,token验证(PHP无码验证机制),其中当算图片的用户体验最不好了,最少都要输入4个字母,有的更多,目的不外乎是为了防止垃圾留言等。今天为大家推荐一个算术验证的机制,类库是国外的人写的,挺不错的,基本可以放弃图片验证了。而且不依赖cookie和session。转载请注明来自www.ieliwb.com[......]

继续阅读

]]> math_check
最近2天在研究验证码,看了很多,不外乎图片,语音,算术,token验证(PHP无码验证机制),其中当算图片的用户体验最不好了,最少都要输入4个字母,有的更多,目的不外乎是为了防止垃圾留言等。今天为大家推荐一个算术验证的机制,类库是国外的人写的,挺不错的,基本可以放弃图片验证了。而且不依赖cookie和session。转载请注明来自www.ieliwb.com

math类库(mathcheck.class.php):英语比较烂,只简单的注明功能

  1. <?php
  2. /*  
  3.     Author: Michael Woehrer <michael dot woehrer at gmail dot com>
  4. Author URI: http://sw-guide.de/
  5.     Version: 1.1
  6.     Copyright  2006-2007, all rights reserved
  7. */
  8.  
  9. class MathCheck {
  10. var $opt;      // array containing the options
  11. var $info;     // containing information
  12.  
  13. /**
  14. * MathCheck
  15. */ 
  16. function MathCheck() {
  17. $this->opt = array(
  18. 'unique' => 'LnfvpVZmsSCfLf0WxXN0',
  19. 'input_numbers' => '1~1, 2~2, 3~3, 4~4, 5~5, 6~6, 7~7, 8~8, 9~9, 10~10',
  20. );
  21. }
  22. /**
  23. * GenerateValues 创建算术分子
  24. */
  25. function GenerateValues() {
  26. $num_array = $this->auxNoToArray($this->opt['input_numbers']);
  27. $rand_keys = array_rand($num_array, 2);
  28. $this->info['operand1'] = $num_array[$rand_keys[0]];
  29. $this->info['operand2'] = $num_array[$rand_keys[1]];
  30. $this->info['result'] = $this->auxGenerateHash($rand_keys[0] + $rand_keys[1], date(j));
  31. }
  32. /**
  33. * InputValidation  验证计算结果
  34. * Input validation. Returns an empty string if validation passed or an error string if not passed.    
  35. */
  36. function InputValidation($actualResult, $userEntered) {
  37. $error = '';
  38. // Case 1: User has not entered an answer at all:
  39. if ($error == '' && $userEntered == '') {
  40. $error = 'No answer';
  41. }
  42. $userEntered = preg_replace('/[^0-9]/', '', $userEntered);    // Remove everything except numbers
  43.  
  44. if ($error == '' && $actualResult != $this->auxGenerateHash($userEntered, date(j)) ) {
  45. if ( ( date('G') <= 1 ) AND ( $actualResult == $this->auxGenerateHash($$userEntered, (intval(date(j))-1) ) )  ) {
  46. // User has just passed midnight while writing the comment. We consider
  47. // the time between 0:00 and 1:59 still as the day before to avoid
  48. // error messages if user visited page on 23:50 but pressed the "Submit Comment"
  49. // button on 0:15.
  50. } else {
  51. $error = 'Wrong answer';
  52. }
  53. }
  54. return $error;
  55. }
  56. /***
  57. * auxNoToArray  根据自定义字符串获取算子
  58. * Converts the input string, e.g. "1~one, 2~two, 3~three, 4~four, ..."
  59. * into an array, e.g.: Array([1] => one, [2] => two, [3] => three, ...)
  60. */         
  61. function auxNoToArray($input) {
  62. $input = str_replace(' ', '', $input);    // Strip whitespace
  63. $sourcearray = explode(',', $input);    // Create array
  64. foreach ($sourcearray as $loopval) {
  65. $temparr = explode('~', $loopval);
  66. $targetarray[$temparr[0]] = $temparr[1];
  67. }
  68. return $targetarray;
  69. }
  70. /***
  71. * auxGenerateHash  加密结果
  72. * Generate hash
  73. */         
  74. function auxGenerateHash($inputstring, $day) {
  75. // Adds the file modification time of this file
  76. $inputstring .= filemtime(__FILE__);
  77. // Adds a unique value defined in the options
  78. $inputstring .= $this->opt['unique'];
  79. // Add the IP address of the server under which the current script is executing.
  80. $inputstring .= getenv('SERVER_ADDR');
  81. // Add date
  82. $inputstring .= $day . date('ny');
  83. // Get MD5 and reverse it
  84. $enc = strrev(md5($inputstring));
  85. // Get only a few chars out of the string
  86. $enc = substr($enc, 28, 1) . substr($enc, 9, 1) . substr($enc, 21, 1) . substr($enc, 15, 1) . substr($enc, 7, 1);
  87. // Return result
  88. return $enc;
  89. }
  90. }
  91.  
  92. ?>

测试文件mathcheck.php:

  1. <?php
  2.  
  3. include_once('./mathcheck.class.php');
  4. $MathCheckObj = new MathCheck;
  5.  
  6. $mc = math_create();
  7.  
  8. if($_POST['user_entered'])
  9. {
  10. var_dump($_POST);
  11. math_check();
  12. }
  13.  
  14. /***********************
  15. * 获取数学问题和答案
  16. ***********************/
  17. function math_create()
  18. {
  19. global $MathCheckObj;
  20. $MathCheckObj->GenerateValues();
  21. $mc_info['operand1'] = $MathCheckObj->info['operand1'];
  22. $mc_info['operand2'] = $MathCheckObj->info['operand2'];
  23. $mc_info['result']   = $MathCheckObj->info['result'];
  24. return $mc_info;
  25. }
  26.  
  27. /***************
  28. * 验证回答结果
  29. ***************/
  30. function math_check() {
  31. global $MathCheckObj;
  32. $actual_result = $_POST['actual_result'];
  33. $user_entered = $_POST['user_entered'];
  34. $result = $MathCheckObj->InputValidation($actual_result, $user_entered);
  35. switch ($result) {
  36. case 'No answer':
  37. die("请回答问题,终止下面的程序");
  38. break;
  39. case 'Wrong answer':
  40. die("问题回答错误,终止下面的程序");
  41. break;
  42. }
  43. echo '问题回答正确,可以继续了';
  44. }
  45.  
  46. ?>
  47. <h1>测试</h1>
  48. <form method="post" action="">
  49.  
  50. <input type="text" name="user_entered" id="user_entered" value="" size="22" tabindex="4" />
  51. <label for="user_entered"><small>请回答计算结果:<?php echo $mc['operand1'] . ' + ' . $mc['operand2'] . ' ?' ?></small></label>
  52. <input type="hidden" name="actual_result" value="<?php echo $mc['result']; ?>" />
  53.  
  54. <input type="submit"/>
  55. </form>

如果需要静态化验证,建议采用json构造。代码就不写了。

]]> http://www.ieliwb.com/php-math-checked/feed/ 1099 抛弃验证码–照样可以拒绝机器人 http://www.ieliwb.com/can-remove-checked-code/ http://www.ieliwb.com/can-remove-checked-code/#comments Mon, 18 May 2009 10:25:49 +0000 花太香齐 http://www.ieliwb.com/?p=87 check
看到上面之类的验证码,估计很多人的评论欲望都没有了吧,这里还有更多呢!都是超级变态型的!

验证码作为防止表单垃圾信息普遍采用的方法,一直被广泛使用。但是同时它造成了很不好的用户体验,为合法用户的正常操作带来不便。本文介绍了一种抛弃使用验证码的方法,来防止自动程序进行垃圾信息的提交。
原文链接:(h[......]

继续阅读

]]> check
看到上面之类的验证码,估计很多人的评论欲望都没有了吧,这里还有更多呢!都是超级变态型的!

验证码作为防止表单垃圾信息普遍采用的方法,一直被广泛使用。但是同时它造成了很不好的用户体验,为合法用户的正常操作带来不便。本文介绍了一种抛弃使用验证码的方法,来防止自动程序进行垃圾信息的提交。
原文链接:(http://15daysofjquery.com/examples/contact-forms/),简单试验了一下效果不错。

原理:
核心部分就是在页面被载入时,采用AJAX动态创建一个特定的隐藏表单元素(姑且叫令牌吧),该元素只有在真正用户访问时才会存在,对于自动化的“机器人”来说是不存在的。通过客户端提交的隐藏表单的令牌和服务器端的对比来验证是否机器人。

1、当表单被载入后,我们创建一个到PHP文件的AJAX调用;
2、该PHP文件将取得当前时间(依靠服务器,并不是访问者的浏览器);
3、该PHP文件将结合时间戳,加上一个加密的字(用户自定义的一个字符串——译者注),产生一个32位的“哈希”并把它作为cookie存储到访问者的浏览器上;
4、jQuery将接收这个从AJAX调用来的时间戳信息,并将该哈希值或“令牌”作为表单的隐藏标签而存储;
5、当该表单为处理而被发送,这个时间戳的值(表单中的——译者注)将和存储在cookie中的32位字符“令牌”做比较;
6、如果信息不匹配,或是丢失,又或者时间戳过期,我们将终止表单处理的执行,同时这个垃圾邮件发送者将会把目标转移到另一个简单的猎物上(放弃我们这个目标——译者注)。

实战演习:
核心就3个文件:
1.前端提交发表页面:demo.htm
2.产生令牌页面:token.php
3.提交处理页面:test.php

1.前端提交发表页面:demo.htm

  1. <html>
  2. <head>
  3. <title>提交页面</title>
  4. <script src="jquery.js"></script>
  5. <script type="text/javascript">
  6. $(document).ready(function(){
  7. $.get("token.php",function(txt){
  8.   $(".secure").append('<input type="hidden" name="ts" value="'+txt+'" />');
  9. });
  10. });
  11. </script>
  12. </head>
  13. <body>
  14.  
  15. <form action="test.php" method="post" class="secure">
  16.     Name:<input type="text" name="name" />
  17.     <input type="submit" name="Submit" value="Submit" />
  18. </form>
  19.  
  20. </body>
  21. </html>

这里用jQuery实现AJAX,在页面加载完毕后从token.php获取“令牌”,相当于获取验证码图片。
上面的令牌从下面的文件获取token.php

2.产生令牌页面:token.php

  1. <?php
  2. $token = $_SERVER['REQUEST_TIME'];
  3. //把时间戳与自定义字符串(我这里用的'ieliwb')拼接后进行md5加密,并存入cookie
  4. //参数0说明该cookie随浏览器关闭而失效
  5.  
  6. setcookie('token',md5('ieliwb'.$token), 0, '/');
  7.  
  8. //在产生“令牌”时可以加上防止缓存的代码
  9. # 'Expires' in the past
  10. header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
  11. # Always modified
  12. header("Last-Modified: ".gmdate("D, d M Y H:i:s")." GMT");
  13. # HTTP/1.1
  14. header("Cache-Control: no-store, no-cache, must-revalidate");
  15. header("Cache-Control: post-check=0, pre-check=0", false);
  16. # HTTP/1.0
  17. header("Pragma: no-cache");
  18. //输出到隐藏的表单
  19. echo $token;
  20. ?>

3.提交处理页面:test.php

  1. <?php
  2. $proceed = false;
  3. $seconds = 60*10;//令牌有效时间
  4. if(isset($_POST['ts']) && isset($_COOKIE['token']) && $_COOKIE['token'] == md5('ieliwb'.$_POST['ts']))
  5. {
  6.     $proceed = true;
  7. }
  8. if(!$proceed)
  9. {
  10.     die('令牌错误!');
  11. }
  12. /**
  13. if(!isset($_POST['ts']) || empty($_POST['ts'])) {
  14.     die('你是机器人吧');
  15. }
  16. if(!isset($_COOKIE['token'])) {
  17.     die('父令牌丢失');
  18. }
  19. if(md5('ieliwb'.$_POST['ts']) != $_COOKIE['token']) {
  20.     die('令牌错误');
  21. }
  22. */
  23. if(((int)$_POST['ts'] + $seconds) < $_SERVER['REQUEST_TIME'])
  24. {
  25.     die('令牌已失效');
  26. }
  27. echo '<h1>Testing:</h1><p>Cookie: '.$_COOKIE['token'].'<br />Timestamp: '. $_POST['ts'].'</p>';
  28. echo '<h1>Success!</h1><br />Here is what you sent:';
  29. print_r($_POST);
  30.  
  31. ?>

到此全部ALL了,测试吧!不过验证码也不是毫无用处,比如可以为那些手动提交垃圾信息的人带来阻碍等。大家可以尝试一下,具体情况当然还得具体对待:),不过图片验证码用户体验确实不好,下篇我将介绍简单的计算运算验证码。

]]> http://www.ieliwb.com/can-remove-checked-code/feed/ 1111