我們常常在提交頁面設置驗證碼防止重復提交，但有些時候設置了驗證碼不一定有用，看看下面的例子：

實現用戶注冊的功能，需要提交以下字段：username,password,regCode，注冊成功后跳轉到登錄頁面，接受頁面進行如下處理：

if($_POST['regCode'] != $_SESSION['regCode']) {msg('驗證碼不一致'); } $username = $_POST['username']; $password = $_POST['password']; if(! check_username($username)) {msg('用戶名不合法'); } if(! check_password($password))) {msg('密碼不合法'); } if(check_user_exists($username)) {msg('用戶名已被占用'); } if(! $this->user_model->save(array('username' => $username,'password' => $password, ))) {msg('注冊失敗'); } header("Location:login.php");

可以看到對用戶名、密碼都做了校驗，且設置了驗證碼，那是不是就沒問題了呢？可以看到服務端只做了驗證碼校驗，但在使用完驗證碼后并未刪掉驗證碼，這樣在下次請求中驗證碼是否可以重復使用呢？ 我們知道驗證碼通常情況下存儲在SESSION中，只要SESSION中驗證碼不被刪掉而客戶端請求的CookieID相同，服務端會認為是同一個用戶，根據同一個CookieID想必服務端還可以拿到驗證碼再次使用。 我們可以這個動作用程序來模擬，并嘗試多次執行：

$cookie = 'PHPSESSID=pgfac511q271k5vvije46kf634'; $post_data = array('username' => 'pp'.time(),'password' => time(),'regCode' => 'dksi', ); $ch = curl_init("http://localhost/regist.php"); curl_setopt($ch, CURLOPT_HEADER, true); curl_setopt($ch, CURLOPT_RETURNTRANSFER, true); curl_setopt($ch, CURLOPT_POST, true); curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($post_data)); curl_setopt($ch,CURLOPT_HTTPHEADER, array("Cookie: ".$cookie)); $rs = curl_exec($ch); if(curl_errno($ch)) {throw new Exception('Curl Error:'.curl_error($ch)); } curl_close($ch); var_dump($rs);

我們只需要從瀏覽器上取到產生的cookie內容和顯示的驗證碼即可，而這些通過ff或者chrome很容易就可以拿到。多次執行之后會發現數據庫插入了多條記錄，也就是驗證碼沒有起到防刷的目的。同樣，也可以在提交頁面的時候嘗試直接F5刷新，上面的邏輯則會提示用戶名已被占用。

該問題產生的根本原因就是驗證碼使用一次之后還可以再次使用，所以解決也很簡單，只需要在注冊成功之后清掉驗證碼的值即可，再次請求時服務端session里已經沒有該值了，驗證碼就校驗不通過了。

這樣的問題本屬于很小的問題，但是在系統中不經意就發生了，不要讓驗證碼變得毫無意義，等刷了幾百萬用戶后才后知后覺

總結

以上是生活随笔為你收集整理的PHP中没用的验证码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。