php实现防洪

PHP 防洪实现方法

防洪（Flood Control）通常用于防止恶意用户通过高频请求攻击系统，如刷屏、暴力破解等。以下是几种常见的 PHP 防洪实现方法：

基于 IP 的限制

通过记录用户 IP 的请求频率，限制短时间内的高频请求。可以使用数据库或缓存（如 Redis）存储请求时间戳。

$ip = $_SERVER['REMOTE_ADDR'];
$key = 'flood_' . $ip;
$limit = 5; // 允许的请求次数
$interval = 60; // 时间间隔（秒）

$redis = new Redis();
$redis->connect('127.0.0.1', 6379);

$count = $redis->incr($key);
if ($count === 1) {
    $redis->expire($key, $interval);
}

if ($count > $limit) {
    header('HTTP/1.1 429 Too Many Requests');
    exit('请求过于频繁，请稍后再试。');
}

基于 Session 的限制

对于已登录用户，可以通过 Session 记录请求次数，避免未登录用户通过更换 IP 绕过限制。

session_start();
$limit = 10;
$interval = 300;

if (!isset($_SESSION['last_request'])) {
    $_SESSION['last_request'] = time();
    $_SESSION['request_count'] = 1;
} else {
    $_SESSION['request_count']++;
    if (time() - $_SESSION['last_request'] < $interval && $_SESSION['request_count'] > $limit) {
        exit('操作过于频繁，请稍后再试。');
    }
    if (time() - $_SESSION['last_request'] > $interval) {
        $_SESSION['last_request'] = time();
        $_SESSION['request_count'] = 1;
    }
}

验证码防护

在敏感操作（如登录、注册）前要求用户输入验证码，可以有效阻止自动化脚本。

session_start();
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (empty($_POST['captcha']) || $_POST['captcha'] !== $_SESSION['captcha']) {
        exit('验证码错误');
    }
    // 验证通过，继续处理
}

令牌（Token）机制

为每个表单生成唯一令牌，防止重复提交或 CSRF 攻击。

session_start();
if (!isset($_SESSION['token'])) {
    $_SESSION['token'] = bin2hex(random_bytes(32));
}

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!isset($_POST['token']) || $_POST['token'] !== $_SESSION['token']) {
        exit('无效请求');
    }
    unset($_SESSION['token']);
}

使用现成库或框架

许多 PHP 框架（如 Laravel、Symfony）内置了防洪中间件，可直接调用。例如 Laravel 的 Throttle 中间件：

Route::middleware('throttle:60,1')->group(function () {
    Route::post('/login', 'AuthController@login');
});

注意事项

• 分布式环境下需使用共享存储（如 Redis）记录请求次数。
• 结合多种防护措施（如 IP 限制 + 验证码）效果更佳。
• 合理设置阈值，避免误伤正常用户。