php验证码防止外网直接访问

2015-04-23 12：16：58
今天查看里sae上部署的项目，突然看到sae的日志，发现有几个异常链接在请求验证码，于是突然萌发出要做一个防止验证码抓取功能。此功能可以防止验证码的盗用和破解，防止不必要的恶意攻击和破解。
思路如下：
在验证码生成类调用之前对访问链接进行验证
1.验证访问来自与那个页码
2.其次验证访问地址
解决步骤：
1.利用php自带的功能来判断验证码的访问是否来自与某个页码基本是不现实的，php中貌似没有这个功能（我是没有找到），所以我们只能利用php实现间接的判断，这里我们用session来验证是否来自与页码，因为需要用到的验证码的页面很少，所以我们设置session的地方也不是太多，相对来说还是可以接受的。

2.验证访问地址，这个就比较简单里，我们可以用php提供的 $_SERVER函数，取出访问地址。

3.在验证码生成之后设置session中验证值，使其下次不能再验证。

具体代码（大家可以根据自己的需要修改此处只提供一个思想）：

例如
1.在 需要加载验证码的页面（或者controller层函数中）设置$_SESSION['check']=true;
2.在调用验证码之前调用验证

<?php /** * Created by PhpStorm. * User: wangyaofeng * Date: 15-4-23 * Time: 上午9:36 *//** * 检测访问的ip是否为规定的允许的ip * Enter description here ... *///ip地址的验证用户根据自己的需求改变function check_ip(){    $ALLOWED_IP=array('127.0.0.1');    $IP=getIP();    $check_ip_arr= explode('.',$IP);//要检测的ip拆分成数组    #限制IP    if(!in_array($IP,$ALLOWED_IP)) {        foreach ($ALLOWED_IP as $val){            if(strpos($val,'*')!==false){//发现有*号替代符                $arr=array();//                $arr=explode('.', $val);                $bl=true;//用于记录循环检测中是否有匹配成功的                for($i=0;$i<4;$i++){                    if($arr[$i]!='*'){//不等于*  就要进来检测，如果为*符号替代符就不检查                        if($arr[$i]!=$check_ip_arr[$i]){                            $bl=false;                            break;//终止检查本个ip 继续检查下一个ip                        }                    }                }//end for                if($bl){//如果是true则找到有一个匹配成功的就返回                    return;                    die('success');                }            }        }//end foreach        header('HTTP/1.1 403 Forbidden');        echo "Access forbidden";        die;    }}function getIP() {    return isset($_SERVER["HTTP_X_FORWARDED_FOR"])?$_SERVER["HTTP_X_FORWARDED_FOR"]        :(isset($_SERVER["HTTP_CLIENT_IP"])?$_SERVER["HTTP_CLIENT_IP"]            :$_SERVER["REMOTE_ADDR"]);}if(!$_SESSION['check']){    check_ip();}//重新设置验证码的值$_SESSION['check'] = false;

基本上通过这两步操作，就可以对验证码进行限制了，在本例中通过外网访问网站时验证码会正常显示，但是通过外网直接访问或者抓取验证码时会被拒绝，通过本地访问验证码一切正常。

如图：

本机访问

外网访问

外网访问登录