安全而且好看的验证码

全部 Ruby Python PHP Flash C++ .net Rails Flex C C# Windows

浏览 33642 次

锁定老帖子主题：安全而且好看的验证码精华帖 (0) :: 良好帖 (7) :: 新手帖 (0) :: 隐藏帖 (0)
作者	正文
pdreamer 等级: 初级会员性别: 文章: 51 积分: 60 来自: 南宁	发表时间：2009-09-15 最后修改：2010-05-06 相关推荐: 04 SpringSecurity实现图形验证码阿里云asp主机后台登录一直提示验证码错误_拖欠阿里云一分钱,结果？浅析 Web 安全之 XSS 与 CSRF kfc 计算机信息安全,2018全国大学生信息安全竞赛技能赛 Exchange邮箱登陆界面添加验证码功能完美解决方案更多相关推荐 PHP 01.5.6稍作修改，验证码文字旋转，使用不同字体，可加干扰码、可加干扰线、可使用中文、可使用背景图片新附件为：Captcha.zip 验证码要让人看清楚，又要让机器难识别。两个都要兼顾比较好的做法是：加随机背景图片、随机字体、稍微旋转字母或数字，位置不固定，稍微扭曲。（字体要用容易识别的，背景要人容易识别文字有对机器识别干扰大）下策：添加干扰字符、干扰线。简单点的对机器识别影响不大，复杂点的对人眼识别影响过大。用gif验证码，先来一段预先播放再显示验证码安全是非常高的。验证码使用了20种字体，要下载上传的附件下来才能测试，不能直接copy代码就debug。在我的512内存的破Windows机上跑起来，生成一个验证码花的时间在0.0086619853973389-0.00999xxxx之间，在vps上跑是0.00354886054993左右。我是在我的框架控制器中调用来测试的，如果直接测试，速度会更快些。我觉得性能还可以，我测试的代码是： public function getAction() { $start = microtime(1); YL_Security_Secoder::entry(); file_put_contents(dirname(__FILE__) . '/test.php', (microtime(1)-$start)); } 给我评评看，这安全度和用户识别麻烦度各有多大呢？这用php写的代码我自己都觉得有点晕，如果用py或rb写的，可读性该好很多，只是精通了php以后让我再学习用ry/py来做，难度有点大。 <?php /** * 安全验证码 * * 安全的验证码要：验证码文字扭曲、旋转，使用不同字体，添加干扰码。 * 如果用中文做验证码(我这里不是哦，有兴趣你来改成用中文的)，安全度会更好些，但验证码扭曲和旋转是王道，用了字体也算是已经给字体扭曲了，我就不再去给他添一只扭曲的足了。 * 可配置的属性都是一些简单直观的变量，我就不用弄一堆的setter/getter了 * * @author 流水孟春 <cmpan(at)qq.com> * @copyright NEW BSD * @link http://labs.yulans.cn/YL_Security_Secoder * @link http://wiki.yulans.cn/docs/yl/security/secoder / class YL_Security_Secoder { /* * 验证码的session的下标 * * @var string / public static $seKey = 'sid.sekey.ylans.cn'; public static $expire = 3000; // 验证码过期时间（s） /* * 验证码中使用的字符，01IO容易混淆，建议不用 * * @var string / public static $codeSet = '346789ABCDEFGHJKLMNPQRTUVWXY'; public static $fontSize = 25; // 验证码字体大小(px) public static $useCurve = true; // 是否画混淆曲线 public static $useNoise = true; // 是否添加杂点 public static $imageH = 0; // 验证码图片宽 public static $imageL = 0; // 验证码图片长 public static $length = 4; // 验证码位数 public static $bg = array(243, 251, 254); // 背景 protected static $_image = null; // 验证码图片实例 protected static $_color = null; // 验证码字体颜色 /* * 输出验证码并把验证码的值保存的session中 * 验证码保存到session的格式为： $_SESSION[self::$seKey] = array('code' => '验证码值', 'time' => '验证码创建时间'); / public static function entry() { // 图片宽(px) self::$imageL \|\| self::$imageL = self::$length self::$fontSize * 1.5 + self::$fontSize1.5; // 图片高(px) self::$imageH \|\| self::$imageH = self::$fontSize 2; // 建立一幅 self::$imageL x self::$imageH 的图像 self::$_image = imagecreate(self::$imageL, self::$imageH); // 设置背景 imagecolorallocate(self::$_image, self::$bg[0], self::$bg[1], self::$bg[2]); // 验证码字体随机颜色 self::$_color = imagecolorallocate(self::$_image, mt_rand(1,120), mt_rand(1,120), mt_rand(1,120)); // 验证码使用随机字体 $ttf = dirname(__FILE__) . '/ttfs/' . mt_rand(1, 20) . '.ttf'; if (self::$useNoise) { // 绘杂点 self::_writeNoise(); } if (self::$useCurve) { // 绘干扰线 self::_writeCurve(); } // 绘验证码 $code = array(); // 验证码 $codeNX = 0; // 验证码第N个字符的左边距 for ($i = 0; $i<self::$length; $i++) { $code[$i] = self::$codeSet[mt_rand(0, 27)]; $codeNX += mt_rand(self::$fontSize1.2, self::$fontSize1.6); // 写一个验证码字符 imagettftext(self::$_image, self::$fontSize, mt_rand(-40, 70), $codeNX, self::$fontSize1.5, self::$_color, $ttf, $code[$i]); } // 保存验证码 isset($_SESSION) \|\| session_start(); $_SESSION[self::$seKey]['code'] = join('', $code); // 把校验码保存到session $_SESSION[self::$seKey]['time'] = time(); // 验证码创建时间 header('Cache-Control: private, max-age=0, no-store, no-cache, must-revalidate'); header('Cache-Control: post-check=0, pre-check=0', false); header('Pragma: no-cache'); header("content-type: image/png"); // 输出图像 imagepng(self::$_image); imagedestroy(self::$_image); } /* * 画一条由两条连在一起构成的随机正弦函数曲线作干扰线(你可以改成更帅的曲线函数) * * 高中的数学公式咋都忘了涅，写出来 * 正弦型函数解析式：y=Asin(ωx+φ)+b * 各常数值对函数图像的影响： * A：决定峰值（即纵向拉伸压缩的倍数） * b：表示波形在Y轴的位置关系或纵向移动距离（上加下减） * φ：决定波形与X轴位置关系或横向移动距离（左加右减） * ω：决定周期（最小正周期T=2π/∣ω∣） * / protected static function _writeCurve() { $A = mt_rand(1, self::$imageH/2); // 振幅 $b = mt_rand(-self::$imageH/4, self::$imageH/4); // Y轴方向偏移量 $f = mt_rand(-self::$imageH/4, self::$imageH/4); // X轴方向偏移量 $T = mt_rand(self::$imageH1.5, self::$imageL2); // 周期 $w = (2 M_PI)/$T; $px1 = 0; // 曲线横坐标起始位置 $px2 = mt_rand(self::$imageL/2, self::$imageL * 0.667); // 曲线横坐标结束位置 for ($px=$px1; $px<=$px2; $px=$px+ 0.9) { if ($w!=0) { $py = $A * sin($w$px + $f)+ $b + self::$imageH/2; // y = Asin(ωx+φ) + b $i = (int) ((self::$fontSize - 6)/4); while ($i > 0) { imagesetpixel(self::$_image, $px + $i, $py + $i, self::$_color); // 这里画像素点比imagettftext和imagestring性能要好很多 $i--; } } } $A = mt_rand(1, self::$imageH/2); // 振幅 $f = mt_rand(-self::$imageH/4, self::$imageH/4); // X轴方向偏移量 $T = mt_rand(self::$imageH1.5, self::$imageL2); // 周期 $w = (2 M_PI)/$T; $b = $py - $A * sin($w$px + $f) - self::$imageH/2; $px1 = $px2; $px2 = self::$imageL; for ($px=$px1; $px<=$px2; $px=$px+ 0.9) { if ($w!=0) { $py = $A sin($w$px + $f)+ $b + self::$imageH/2; // y = Asin(ωx+φ) + b $i = (int) ((self::$fontSize - 8)/4); while ($i > 0) { imagesetpixel(self::$_image, $px + $i, $py + $i, self::$_color); // 这里(while)循环画像素点比imagettftext和imagestring用字体大小一次画出（不用这while循环）性能要好很多 $i--; } } } } /* * 画杂点 * 往图片上写不同颜色的字母或数字 / protected static function _writeNoise() { for($i = 0; $i < 10; $i++){ //杂点颜色 $noiseColor = imagecolorallocate( self::$_image, mt_rand(150,225), mt_rand(150,225), mt_rand(150,225) ); for($j = 0; $j < 5; $j++) { // 绘杂点 imagestring( self::$_image, 5, mt_rand(-10, self::$imageL), mt_rand(-10, self::$imageH), self::$codeSet[mt_rand(0, 27)], // 杂点文本为随机的字母或数字 $noiseColor ); } } } /* * 验证验证码是否正确 * * @param string $code 用户验证码 * @return bool 用户验证码是否正确 / public static function check($code) { isset($_SESSION) \|\| session_start(); // 验证码不能为空 if(empty($code) \|\| empty($_SESSION[self::$seKey])) { return false; } // session 过期 if(time() - $_SESSION[self::$seKey]['time'] > self::$expire) { unset($_SESSION[self::$seKey]); return false; } if($code == $_SESSION[self::$seKey]['code']) { return true; } return false; } } // useage / YL_Security_Secoder::$useNoise = false; // 要更安全的话改成true YL_Security_Secoder::$useCurve = true; YL_Security_Secoder::entry(); / / // 验证验证码 if (!YL_Security_Secoder::check(@$_POST['secode'])) { print 'error secode'; } */ 大张的图不清楚，就再加些直接保存下来的验证码吧。有兴趣多刷几张图看看的话，刷这里http://www.yulans.cn/dp/secode/get 别把我的vps刷死就行 secoder.zip (366.7 KB) 下载次数: 1167 大小: 46 KB 大小: 34.9 KB 大小: 1.5 KB 大小: 1.6 KB 大小: 1.5 KB 大小: 1.8 KB 大小: 1.7 KB 大小: 1.8 KB Captcha.zip (1.4 MB) 下载次数: 1982 查看图片附件声明：ITeye文章版权属于作者，受法律保护。没有作者书面许可不得转载。推荐链接
返回顶楼

徐风子等级: 初级会员性别: 文章: 124 积分: 30 来自: 北京	发表时间：2009-09-16 这么多种字体，确实很难识别——人眼
返回顶楼	回帖地址 0 0 请登录后投票

pdreamer 等级: 初级会员性别: 文章: 51 积分: 60 来自: 南宁	发表时间：2009-09-23 谢谢建议，我改成只用3种比较清晰的字体了
返回顶楼	回帖地址 0 0 请登录后投票

oopos 等级: 初级会员性别: 文章: 4 积分: 30 来自: 上海	发表时间：2009-10-12 看Google和QQ的验证码
返回顶楼	回帖地址 0 0 请登录后投票

syre 等级: 初级会员性别: 文章: 38 积分: 40 来自: 上海	发表时间：2009-11-13 建议lz去看看kcaptchr。你这样的还是很容易破解的。
返回顶楼	回帖地址 0 0 请登录后投票

axgle 等级: 性别: 文章: 243 积分: 414 来自: 北京	发表时间：2009-11-23 不错，支持一下搂主，我喜欢第一张，比较清晰。
返回顶楼	回帖地址 0 0 请登录后投票

笨笨林等级: 初级会员性别: 文章: 6 积分: 10 来自: 宜春	发表时间：2009-12-02 不错，太难识别了也不好，经常登陆QQ空间时验证码要换N次。
返回顶楼	回帖地址 0 0 请登录后投票

chinalu 等级: 初级会员性别: 文章: 23 积分: 40 来自: 杭州	发表时间：2009-12-02 GD based?
返回顶楼	回帖地址 0 0 请登录后投票

hittyo 等级: 性别: 文章: 179 积分: 190 来自: 北京	发表时间：2009-12-08 字基本上是一样的，只是转个方向
返回顶楼	回帖地址 0 0 请登录后投票

czy 等级: 初级会员文章: 3 积分: 60	发表时间：2009-12-15 支持楼主开发中文验证码
返回顶楼	回帖地址 0 0 请登录后投票

论坛首页 → 编程语言技术版

跳转论坛: