我们先来分析下,有验证码发布的流程

1,显示表单

2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie

3,用户提交表单

4,核对验证码无误,数据合法后 写入数据库教程完成

用户如果再发布一条,正常情况下,会再次访问表单页面,验证码图片被动 更新, session 和 cookie 也就跟着变了

但是灌水机操作 不一定非要使用表单页面,它可以直接 模拟post 向服务端程序 发送数据;这样验证码程序没有被调用,当然session和cookie存储的加密验证码就是上次的值,也就没有更新,这样以后无限次的通过post直接发送的数据 ,而不考虑验证码,验证码形同虚设!

所以,在核对验证码后 先将 session和cookie的值清空,然后做数据合法性判断,然偶入库!

这样 一个漏洞就被补上了!

if ( md5($_post[‘vcode’]) == $_session[‘vcode’] ) {

$_session[‘vcode’]=”;//这句非常重要

} else {

exit ‘验证码不对!’;

}

//接下来的处理

……

?>

生成验证码图片的程序

session_start();

……

$v = new authcode();

$vcode = $v->getauthcode();

$_session[‘vcode’] = md5($vcode );

……..

?>

表单页面

……

验证码是怎样被绕过的

www.bkjia.comtrueTechArticle我们先来分析下,有验证码发布的流程 1,显示表单 2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie 3,…

php绕过验证码注册,验证码被绕过的处理方法_PHP教程相关推荐

  1. ajax实现php验证码验证码,PHP验证码之Ajax验证实现方法_PHP教程

    session_start(); //设置: 你可以在这里修改验证码图片的参数 $image_width = 120; $image_height = 40; $characters_on_image ...

  2. 验证码绕过(对验证码绕过的理解-----burpsuite)

    Pikachu是一个带有漏洞的Web应用系统, 在这里包含了常见的web安全漏洞.通过一些资料认识这个练习的靶机平台.练习需要的条件是自己首先在电脑上下载并安装相关的工具.Burp suit.Phps ...

  3. 渗透测试-验证码的爆破与绕过

    [验证码机制原理] 客户端发起请求->服务端响应并创建一个新的SessionID同时生成随机验证码,将验证码和SessionID一并返回给客户端->客户端提交验证码连同SessionID给 ...

  4. 搜狗浏览器验证码无法显示_逃离塔科夫账号注册-验证码不显示

    两种方法: 第一种:游戏加速器(其中会产生费用) 第二种:浏览器验证码扩展插件(免费) 先看第一种 <逃离塔科夫>作为独立客户端游戏,购买游戏前需在官网注册账号,官网由于没有本地服务器支撑 ...

  5. mysql查询使用qq邮箱注册_Spring Boot实现qq邮箱验证码注册和登录验证功能

    1.登录注册思路 这是一个使用spring boot做的一个qq邮箱注册和登录的项目. 没写前端页面,使用postman测试.有截图详细. 1.1.思路 注册:通过输入的邮箱发送验证码,检验前端传来的 ...

  6. 手机短信验证码注册-短信平台验证码开发6

    经过前面的基础准备工作后, 就可以正式进入开发的阶段了, 我们的短信接口开发, 主要以实现手机短信验证码功能案例, 进行演示, 因为这个功能在实际项目中用得最多. 这一节课程, 我们先把手机短信验证码 ...

  7. 破解背后的黑客,第1部分:如何绕过软件注册

    如果你曾经想过软件盗版者如何能够一次又一次地破解它,即使有了安全措施,这个小系列也适合你.即使采用当今最先进的打击盗版方法,破解世界上几乎任何计划仍然相对容易.这主要是由于计算机进程能够被汇编调试器完 ...

  8. springboot整合redis之用户手机验证码注册登录

    目录 1搭建项目开发环境 1.1安装redis 1.1.1下载redis 1.1.2安装redis 1.1.3设置redis为windows服务 安装为windows服务 1.2启动idea 1.3增 ...

  9. 分享一款好用的PDF转换器的免费注册验证码-All PDF Converter

    最近做PDF的项目比较多,所以各种PDF工具都下载测试过.不过目前的PDF转换工具虽然多,但是都得收费.我们怎么能用收费的呢?最近从Sharewareonsale上看来的一款国外PDF转换器,支持多国 ...

  10. 使用阿里云短信验证码API发送短信验证码(配置,获取短信验证码,注册,登录,密码重置)

    获取阿里云短信验证码需要的配置信息. 如果是新用户,可以免费领取3个月,老用户的话就只能购买了,但是也不贵. 申请短信签名 申请短信模板 编写发送短信验证码的工具类 代码中我已经进行了详细的注释,也写 ...

最新文章

  1. 为什么vs数据库中文显示问号_本科论文知网不收录为什么会被知网查重到?
  2. Can't load IA 32-bit .dll on a AMD 64-bit platform
  3. 20162330 刘伟康_预备作业03
  4. Microsoft Windows 7.0 build 7000 NAP测试--健康状态检测验证报告
  5. sql intersect mysql_SQL INTERSECT子句
  6. java将复选框添加到表格_Element表格嵌入复选框以及单选框
  7. Direct3D 9学习笔记(7)纹理实例
  8. clientHeight、offsetHeight、scrollHeight问题
  9. cblas_saxpy catlas_sset
  10. RDP协议详细解析(五)
  11. oracle数据库中的一些操作
  12. Android开发技术周报 Issue#69
  13. Apache双机热备
  14. 大数据技术 - MapReduce 作业的运行机制
  15. 10款好用的谷歌chrome浏览器插件、扩展程序,用起来很爽哦
  16. python Splinter 12306抢票
  17. 2022R1快开门式压力容器操作操作证考试题库及在线模拟考试
  18. python操作autocad_利用python控制Autocad:pyautocad方式
  19. JAVA WEB学习笔记(一)
  20. 会员积分兑换系统的基础运营

热门文章

  1. 揭开阿里P2P面纱:大数据是泡泡
  2. 2017-3-2 数据库索引/数据类型/引擎
  3. linux常用命令(21)tar命令
  4. 50个Android开发技巧(02 延迟载入和避免反复渲染视图)
  5. Kali和Backtrack中更新metasploit后无法连接数据库的问题解决方法
  6. 剑指_3.1数组中重复的数字(Python/C++)
  7. 全国计算机等级考试题photoshop,全国计算机等级考试之一级Photoshop试题
  8. deque python_python3 deque(双向队列)的详细介绍
  9. 打开gedit_使用 gedit 文本编辑器优化你的 GNOME 体验 | Linux 中国
  10. python多线程下载编程_Python多线程结合队列下载百度音乐代码详解