驗證碼被繞過的處理方法

我們先來分析下，有驗證碼發布的流程

1，顯示表單 

2，顯示驗證碼（條用生成驗證碼的程序）， 將驗證碼加密后放進 session 或者 cookie

3，用戶提交表單

4，核對驗證碼無誤,數據合法后,寫入數據庫完成,用戶如果再發布一條，正常情況下，會再次訪問表單頁面,驗證碼圖片被動更新,session 和 cookie 也就跟著變了,但是灌水機操作不一定非要使用表單頁面,它可以直接模擬 post 向服務端程序發送數據；這樣驗證碼程序沒有被調用，當然session和cookie存儲的加密驗證碼就是上次的值，也就沒有更新，這樣以后無限次的通過post直接發送的數據,而不考慮驗證碼,驗證碼形同虛設！

所以，在核對驗證碼后 先將 session和cookie的值清空，然后做數據合法性判斷，然偶入庫！這樣 一個漏洞就被補上了！

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈