将用户输入的验证码值与会话中存储的预期值进行比较

Question

我正在尝试在我正在构建的表单中实现一个简单的验证码，但我遇到了一个我自己似乎无法解决的问题。

我正在使用简单的代码来生成一个像这样的随机数......

$randomnr = rand(1000, 9999);
$_SESSION['randomnr2'] = md5($randomnr);

....然后是更多代码来生成随机数的图像并将其显示在页面上。我反对这样的有效性....

if (strlen($captcha) !== ($_SESSION['randomnr2'])) { 
    $error['captcha'] = "CAPTCHA error. Please try again";
}

如何检查输入到验证码输入字段的值与存储在会话randomnr2 中的随机数？

Answer 1

我不确定您为什么要在这里对照字符串的 md5 哈希检查字符串的长度，但假设 $captcha 是来自用户的数字，您可以这样做：

if(md5($captcha) !== $_SESSION['randomnr2']) {
  $error['captcha'] = "CAPTCHA error. Please try again";
}

Answer 2

PHP 会自动将 strlen() 的任何内容转换为字符串（如果可以的话），所以

echo strlen(42); 
echo strlen('42');

都会输出'2'，即使第一个是整数。将提交的值与存储的值进行比较，很简单

if ($_SESSION['randomnr2'] === (int)$captcha) {
   ... it matched ...
}

您需要再次将提交的值转换为 int，因为 PHP $_GET/POST 数组中的任何内容在内部都被视为字符串。

Answer 3

<div id='captcha_to_show' style='border:1px solid silver;'>gobldeygook</div>
<input name='captcha' id='captcha'>

...

通过 scriptmonkey 附加...

$('document').ready(function(){
  $('#captcha').val($('#captcha_to_show').html());
});

查看开源验证码脚本。您的实现将需要在页面上发送该验证码，使其值可以被任何拉动页面的人看到，并且该人/机器人/任何人都可以相应地填写验证字段，因此您实际上拥有零保护。这就是为什么验证码要么使用难以用脚本阅读的复杂图像，要么使用人类在上下文中比机器人更好理解的语义问题，例如 ['你认为 1 和 3 的总和是多少？' === 4]。是的，设置字体、间距和大小的更简单的图像验证码可以通过一种像素模式字典攻击来破解。