php验证码实现原理

PHP 验证码实现原理

验证码（CAPTCHA）的核心目的是区分人类用户和自动化程序。PHP 中实现验证码通常涉及生成随机字符串、绘制图像、干扰元素添加和会话存储验证。

生成随机字符串

使用 PHP 的随机函数（如 rand() 或 mt_rand()）生成指定长度的数字或字母组合。例如：

$chars = 'ABCDEFGHJKLMNPQRSTUVWXYZ23456789';
$code = substr(str_shuffle($chars), 0, 6);

创建图像并绘制文本

通过 GD 库创建画布并输出文本：

$image = imagecreatetruecolor(150, 50);
$bgColor = imagecolorallocate($image, 255, 255, 255);
$textColor = imagecolorallocate($image, 0, 0, 0);
imagefill($image, 0, 0, $bgColor);
imagettftext($image, 20, 0, 10, 35, $textColor, 'font.ttf', $code);

添加干扰元素

增加噪点、线条或扭曲增强安全性：

for ($i = 0; $i < 200; $i++) {
    imagesetpixel($image, rand(0, 150), rand(0, 50), $noiseColor);
}
imageline($image, 0, rand(0,50), 150, rand(0,50), $lineColor);

会话存储与验证

将生成的验证码存入 $_SESSION，后续与用户输入比对：

$_SESSION['captcha'] = $code;
// 验证时
if ($_POST['user_input'] === $_SESSION['captcha']) {
    // 验证通过
}

输出图像

最终输出为 PNG 或 JPEG 格式：

header('Content-Type: image/png');
imagepng($image);
imagedestroy($image);

增强安全性建议

• 使用 TTF 字体替代标准字体增加复杂度。
• 限制验证码尝试次数防止暴力破解。
• 定期更换验证码生成逻辑。
• 考虑加入时间戳验证（如 5 分钟内有效）。

替代方案

对于更高安全性需求，可集成第三方服务如 reCAPTCHA（Google）或 hCaptcha，它们通过行为分析而非简单图像验证实现人机区分。