CAPTCHA实际上是完全自动公开图灵测试的缩写,以区分计算机和人类。该技术与前文介绍的 "用令牌保护表单安全 "中的技术类似。不同的是,该标记不是存储在一个隐藏的表单输入字段中,而是呈现为一个自动攻击系统难以解读的图形。此外,验证码的目的与表单令牌略有不同:它旨在确认网络访问者是人类,而不是自动系统。
如何做...
1.CAPTCHA有几种方法:根据只有人类才会拥有的知识提出问题,文字技巧,以及需要解释的图形图像。
2. 图像方法为网络访问者提供了一个带有严重扭曲的字母和/或数字的图像。然而,这种方法可能很复杂,因为它依赖于GD扩展,而GD扩展可能不是在所有服务器上都能使用。GD扩展可能很难编译,并且严重依赖主机服务器上必须存在的各种库。
3. 文本方法是呈现一系列的字母或数字,并给网络访问者一个简单的指示,如请倒着输入。另一种变化是使用ASCII "艺术 "来形成字符,使人类的网络访问者能够解释。
4. 最后,你可能会有一个问题或答案的方法,问题如The head is attached to the body by what body part,有答案如Arm、Leg、Neck。这种方法的缺点是,自动攻击系统通过测试的几率只有1/3。
生成一个文本验证码
1.在这个例子中,我们将从文本方法开始,然后是图像方法。无论哪种情况,我们首先需要定义一个类来生成短语(并由网络访问者解码)。为此,我们定义了一个Application\Captcha\Phrase类。我们还定义了短语生成过程中使用的属性和类常量。
复制 namespace Application\Captcha;
class Phrase
{
const DEFAULT_LENGTH = 5;
const DEFAULT_NUMBERS = '0123456789';
const DEFAULT_UPPER = 'ABCDEFGHJKLMNOPQRSTUVWXYZ';
const DEFAULT_LOWER = 'abcdefghijklmnopqrstuvwxyz';
const DEFAULT_SPECIAL =
'¬\`|!"£$%^&*()_-+={}[]:;@\'~#<,>.?/|\\';
const DEFAULT_SUPPRESS = ['O','l'];
protected $phrase;
protected $includeNumbers;
protected $includeUpper;
protected $includeLower;
protected $includeSpecial;
protected $otherChars;
protected $suppressChars;
protected $string;
protected $length; 2. 正如你所期望的那样,构造函数接受各种属性的值,并分配了默认值,因此无需指定任何参数即可创建实例。$include*标志用于指示哪些字符集将出现在基础字符串中,而短语将从基础字符串中生成。例如,如果你希望只包含数字,$includeUpper和$includeLower都会被设置为FALSE。提供$otherChars是为了增加灵活性。最后,$suppressChars代表一个将从基本字符串中删除的字符数组。默认情况下会删除大写字母O和小写字母l。
复制 public function __construct(
$length = NULL,
$includeNumbers = TRUE,
$includeUpper= TRUE,
$includeLower= TRUE,
$includeSpecial = FALSE,
$otherChars = NULL,
array $suppressChars = NULL)
{
$this->length = $length ?? self::DEFAULT_LENGTH;
$this->includeNumbers = $includeNumbers;
$this->includeUpper = $includeUpper;
$this->includeLower = $includeLower;
$this->includeSpecial = $includeSpecial;
$this->otherChars = $otherChars;
$this->suppressChars = $suppressChars
?? self::DEFAULT_SUPPRESS;
$this->phrase = $this->generatePhrase();
} 3. 然后我们定义了一系列的getter和setter,每个属性一个。请注意,为了节省空间,我们只显示前两个。
复制 public function getString()
{
return $this->string;
}
public function setString($string)
{
$this->string = $string;
}
// other getters and setters not shown 4. 接下来我们需要定义一个初始化基础字符串的方法。这由一系列简单的if语句组成,这些语句检查各种$include*标志,并适当地追加到基础字符串中。最后,我们使用str_replace()来删除$suppressChars中代表的字符。
复制 public function initString()
{
$string = '';
if ($this->includeNumbers) {
$string .= self::DEFAULT_NUMBERS;
}
if ($this->includeUpper) {
$string .= self::DEFAULT_UPPER;
}
if ($this->includeLower) {
$string .= self::DEFAULT_LOWER;
}
if ($this->includeSpecial) {
$string .= self::DEFAULT_SPECIAL;
}
if ($this->otherChars) {
$string .= $this->otherChars;
}
if ($this->suppressChars) {
$string = str_replace(
$this->suppressChars, '', $string);
}
return $string;
} 最佳实践
把可能与数字混淆的字母去掉(即字母O可以与数字0混淆,小写的l可以与数字1混淆。
5. 现在我们准备好定义核心方法,生成验证码呈现给网站访问者的随机短语。我们设置一个简单的for()循环,并使用新的PHP 7 random_int()函数在基础字符串中跳转。
复制 public function generatePhrase()
{
$phrase = '';
$this->string = $this->initString();
$max = strlen($this->string) - 1;
for ($x = 0; $x < $this->length; $x++) {
$phrase .= substr(
$this->string, random_int(0, $max), 1);
}
return $phrase;
}
} 6. 现在我们将注意力从短语转移到产生文本验证码的类上。为此,我们首先定义一个接口,以便将来可以创建更多的CAPTCHA类,这些类都可以使用Application\Captcha\Phrase。请注意,getImage()将返回文本、文本艺术或实际图像,这取决于我们决定使用哪个类。
复制 namespace Application\Captcha;
interface CaptchaInterface
{
public function getLabel();
public function getImage();
public function getPhrase();
} 7. 对于文本验证码,我们定义了一个Application\Captcha/Reverse类。之所以叫这个名字,是因为这个类产生的不仅仅是文本,而是反向的文本。__construct()方法建立了一个Phrase的实例。请注意,getImage()返回的是反向的短语。
复制 namespace Application\Captcha;
class Reverse implements CaptchaInterface
{
const DEFAULT_LABEL = 'Type this in reverse';
const DEFAULT_LENGTH = 6;
protected $phrase;
public function __construct(
$label = self::DEFAULT_LABEL,
$length = self:: DEFAULT_LENGTH,
$includeNumbers = TRUE,
$includeUpper = TRUE,
$includeLower = TRUE,
$includeSpecial = FALSE,
$otherChars = NULL,
array $suppressChars = NULL)
{
$this->label = $label;
$this->phrase = new Phrase(
$length,
$includeNumbers,
$includeUpper,
$includeLower,
$includeSpecial,
$otherChars,
$suppressChars);
}
public function getLabel()
{
return $this->label;
}
public function getImage()
{
return strrev($this->phrase->getPhrase());
}
public function getPhrase()
{
return $this->phrase->getPhrase();
}
} 生成一个图像验证码
1.形象的方法,你可以很好地想象,要复杂得多。短语的生成过程是一样的。主要的区别是,我们不仅需要将短语印在图形上,还需要对每个字母进行不同的变形,并以随机点的形式引入噪声。
2. 我们定义了一个Application\Captcha\Image类,实现了验证码接口。该类的常量和属性不仅包括生成短语所需要的,还包括生成图像所需要的。
复制 namespace Application\Captcha;
use DirectoryIterator;
class Image implements CaptchaInterface
{
const DEFAULT_WIDTH = 200;
const DEFAULT_HEIGHT = 50;
const DEFAULT_LABEL = 'Enter this phrase';
const DEFAULT_BG_COLOR = [255,255,255];
const DEFAULT_URL = '/captcha';
const IMAGE_PREFIX = 'CAPTCHA_';
const IMAGE_SUFFIX = '.jpg';
const IMAGE_EXP_TIME = 300; // seconds
const ERROR_REQUIRES_GD = 'Requires the GD extension + '
. ' the JPEG library';
const ERROR_IMAGE = 'Unable to generate image';
protected $phrase;
protected $imageFn;
protected $label;
protected $imageWidth;
protected $imageHeight;
protected $imageRGB;
protected $imageDir;
protected $imageUrl; 3. 构造函数需要接受所有生成短语所需的参数,如前几步所述。此外,我们还需要接受生成图像所需的参数。两个必选参数是$imageDir和$imageUrl。第一个是图形将被写入的地方。第二个是基础URL,之后我们将附加生成的文件名。提供$imageFont是为了防止我们提供TrueType字体,这将产生一个更安全的验证码。否则,我们只能使用默认字体,引用著名电影中的一句台词,这可不是什么好事。
复制 public function __construct(
$imageDir,
$imageUrl,
$imageFont = NULL,
$label = NULL,
$length = NULL,
$includeNumbers = TRUE,
$includeUpper= TRUE,
$includeLower= TRUE,
$includeSpecial = FALSE,
$otherChars = NULL,
array $suppressChars = NULL,
$imageWidth = NULL,
$imageHeight = NULL,
array $imageRGB = NULL
)
{ 4. 接下来,仍然在构造函数中,我们检查 imagecreatetruecolor 函数是否存在。如果返回的是false`,我们就知道GD扩展不可用。否则,我们为属性分配参数,生成短语,删除旧图片,写出验证码图形。
复制 if (!function_exists('imagecreatetruecolor')) {
throw new \Exception(self::ERROR_REQUIRES_GD);
}
$this->imageDir = $imageDir;
$this->imageUrl = $imageUrl;
$this->imageFont = $imageFont;
$this->label = $label ?? self::DEFAULT_LABEL;
$this->imageRGB = $imageRGB ?? self::DEFAULT_BG_COLOR;
$this->imageWidth = $imageWidth ?? self::DEFAULT_WIDTH;
$this->imageHeight= $imageHeight ?? self::DEFAULT_HEIGHT;
if (substr($imageUrl, -1, 1) == '/') {
$imageUrl = substr($imageUrl, 0, -1);
}
$this->imageUrl = $imageUrl;
if (substr($imageDir, -1, 1) == DIRECTORY_SEPARATOR) {
$imageDir = substr($imageDir, 0, -1);
}
$this->phrase = new Phrase(
$length,
$includeNumbers,
$includeUpper,
$includeLower,
$includeSpecial,
$otherChars,
$suppressChars);
$this->removeOldImages();
$this->generateJpg();
} 5. 删除旧图片的过程是极其重要的,否则我们最终会发现目录中充满了过期的验证码图片!我们使用DirectoryIterator类扫描指定的目录,并检查访问时间。我们使用DirectoryIterator类来扫描指定的目录并检查访问时间。我们计算一个旧的图像文件是当前时间减去IMAGE_EXP_TIME指定的值。
复制 public function removeOldImages()
{
$old = time() - self::IMAGE_EXP_TIME;
foreach (new DirectoryIterator($this->imageDir)
as $fileInfo) {
if($fileInfo->isDot()) continue;
if ($fileInfo->getATime() < $old) {
unlink($this->imageDir . DIRECTORY_SEPARATOR
. $fileInfo->getFilename());
}
}
} 6. 我们现在准备好进入正题。首先,我们将$imageRGB数组分割成$red、$green和$blue。我们使用核心的imagecreatetruecolor()函数来生成指定宽度和高度的基础图形。我们使用RGB值对背景进行着色。
复制 public function generateJpg()
{
try {
list($red,$green,$blue) = $this->imageRGB;
$im = imagecreatetruecolor(
$this->imageWidth, $this->imageHeight);
$black = imagecolorallocate($im, 0, 0, 0);
$imageBgColor = imagecolorallocate(
$im, $red, $green, $blue);
imagefilledrectangle($im, 0, 0, $this->imageWidth,
$this->imageHeight, $imageBgColor); 7. 接下来,我们根据图像的宽度和高度定义x和y边距。然后我们初始化变量,用于将短语写到图形上。然后,我们循环次数与短语的长度相匹配。
复制 $xMargin = (int) ($this->imageWidth * .1 + .5);
$yMargin = (int) ($this->imageHeight * .3 + .5);
$phrase = $this->getPhrase();
$max = strlen($phrase);
$count = 0;
$x = $xMargin;
$size = 5;
for ($i = 0; $i < $max; $i++) { 8. 如果指定了$imageFont,我们就能够用不同的大小和角度来书写每个字符。我们还需要根据大小调整x轴(即水平)值。
复制 if ($this->imageFont) {
$size = rand(12, 32);
$angle = rand(0, 30);
$y = rand($yMargin + $size, $this->imageHeight);
imagettftext($im, $size, $angle, $x, $y, $black,
$this->imageFont, $phrase[$i]);
$x += (int) ($size + rand(0,5)); 9. 否则,我们就只能使用默认字体。我们使用最大的5号字体,因为较小的字体是不可读的。我们通过交替使用imagechar()和imagecharup()来提供低水平的失真,imagechar()可以正常写入图像,而imagecharup()可以横向写入图像。
复制 } else {
$y = rand(0, ($this->imageHeight - $yMargin));
if ($count++ & 1) {
imagechar($im, 5, $x, $y, $phrase[$i], $black);
} else {
imagecharup($im, 5, $x, $y, $phrase[$i], $black);
}
$x += (int) ($size * 1.2);
}
} // end for ($i = 0; $i < $max; $i++) 10. 接下来我们需要以随机点的形式添加噪声。这是必要的,以便使图像更难被自动系统检测到。同时建议你也添加代码来画几条线。
复制 $numDots = rand(10, 999);
for ($i = 0; $i < $numDots; $i++) {
imagesetpixel($im, rand(0, $this->imageWidth),
rand(0, $this->imageHeight), $black);
} 11. 然后,我们使用我们的老朋友md5()创建一个随机的图像文件名,参数为日期和一个0到9999的随机数。请注意,我们可以安全地使用md5(),因为我们并没有试图隐藏任何秘密信息;我们只是想快速生成一个唯一的文件名。为了节省内存,我们也擦掉了图像对象。
复制 $this->imageFn = self::IMAGE_PREFIX
. md5(date('YmdHis') . rand(0,9999))
. self::IMAGE_SUFFIX;
imagejpeg($im, $this->imageDir . DIRECTORY_SEPARATOR
. $this->imageFn);
imagedestroy($im); 12. 整个构造都在try/catch块中。如果出现错误或异常,我们会记录消息并采取适当的行动。
复制 } catch (\Throwable $e) {
error_log(__METHOD__ . ':' . $e->getMessage());
throw new \Exception(self::ERROR_IMAGE);
}
} 13. 最后,我们定义接口所需的方法。注意,getImage()会返回一个HTML <img>标签,然后可以立即显示。
复制 public function getLabel()
{
return $this->label;
}
public function getImage()
{
return sprintf('<img src="%s/%s" />',
$this->imageUrl, $this->imageFn);
}
public function getPhrase()
{
return $this->phrase->getPhrase();
}
} 如何运行...
一定要定义本事例中所讨论的类,总结在下表中。
Application\Captcha\Phrase
Generating a text CAPTCHA
Application\Captcha\CaptchaInterface
Application\Captcha\Reverse
Application\Captcha\Image
Generating an image CAPTCHA
接下来,定义一个名为chap_12_captcha_text.php的调用程序,实现文本验证码。你首先需要设置自动加载并使用相应的类。
复制 <?php
require __DIR__ . '/../Application/Autoload/Loader.php';
Application\Autoload\Loader::init(__DIR__ . '/..');
use Application\Captcha\Reverse; 之后,一定要开始会话。你也会使用适当的措施来保护会话。为了节省空间,我们只展示一个简单的措施,session_regenerate_id()。
复制 session_start();
session_regenerate_id(); 接下来,你可以定义一个创建验证码的函数;检索短语、标签和图像(在本例中,反向文本);并将值存储在会话中。
复制 function setCaptcha(&$phrase, &$label, &$image)
{
$captcha = new Reverse();
$phrase = $captcha->getPhrase();
$label = $captcha->getLabel();
$image = $captcha->getImage();
$_SESSION['phrase'] = $phrase;
} 现在是初始化变量和确定登录状态的好时机。
复制 $image = '';
$label = '';
$phrase = $_SESSION['phrase'] ?? '';
$message = '';
$info = 'You Can Now See Super Secret Information!!!';
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
$loggedUser = $_SESSION['user'] ?? 'guest'; 然后,您可以检查是否已按下登录按钮。如果是,检查是否输入了验证码短语。如果没有,则初始化一条消息,通知用户他们需要输入验证码短语。
复制 if (!empty($_POST['login'])) {
if (empty($_POST['captcha'])) {
$message = 'Enter Captcha Phrase and Login Information'; 如果存在验证码短语,检查它是否与会话中存储的内容相匹配。如果不匹配,则继续进行表单无效的处理。否则,按照其他方式处理登录。在本例中,您可以使用硬编码的用户名和密码来模拟登录。
复制 } else {
if ($_POST['captcha'] == $phrase) {
$username = 'test';
$password = 'password';
if ($_POST['user'] == $username
&& $_POST['pass'] == $password) {
$loggedIn = TRUE;
$_SESSION['user'] = strip_tags($username);
$_SESSION['isLoggedIn'] = TRUE;
} else {
$message = 'Invalid Login';
}
} else {
$message = 'Invalid Captcha';
}
} 你可能还想添加注销选项的代码,就像保护PHP会话事例中描述的那样。
复制 } elseif (isset($_POST['logout'])) {
session_unset();
session_destroy();
setcookie('PHPSESSID', 0, time() - 3600);
header('Location: ' . $_SERVER['REQUEST_URI'] );
exit;
} 然后你可以运行setCaptcha()。
复制 setCaptcha($phrase, $label, $image); 最后,别忘了视图逻辑,在这个例子中,呈现的是一个基本的登录表单。在表单标签里面,你需要添加视图逻辑来显示验证码和标签。
复制 <tr>
<th><?= $label; ?></th>
<td><?= $image; ?><input type="text" name="captcha" /></td>
</tr> 下面是结果输出。
为了演示如何使用图片验证码,请将chap_12_captcha_text.php中的代码复制到cha_12_captcha_image.php中。我们定义了常量来表示验证码图片的目录位置. (一定要创建这个目录!)否则,自动加载和使用语句的结构是相似的。注意,我们还定义了一个TrueType字体。不同之处用粗体表示。
复制 <?php
define('IMAGE_DIR', __DIR__ . '/captcha');
define('IMAGE_URL', '/captcha');
define('IMAGE_FONT', __DIR__ . '/FreeSansBold.ttf');
require __DIR__ . '/../Application/Autoload/Loader.php';
Application\Autoload\Loader::init(__DIR__ . '/..');
use Application\Captcha\Image;
session_start();
session_regenerate_id(); 字体可能受到版权、商标、专利或其他知识产权法律的保护。如果您使用的字体没有得到授权,您和您的客户可能会被追究法律责任。使用开放源码的字体,或者是在网络服务器上可以使用的字体,你得有一个有效的许可证。
当然,在setCaptcha()函数中,我们使用Image类代替Reverse。
复制 function setCaptcha(&$phrase, &$label, &$image)
{
$captcha = new Image(IMAGE_DIR, IMAGE_URL, IMAGE_FONT);
$phrase = $captcha->getPhrase();
$label = $captcha->getLabel();
$image = $captcha->getImage();
$_SESSION['phrase'] = $phrase;
return $captcha;
} 变量初始化与上一个脚本相同,登录处理与上一个脚本相同。
复制 $image = '';
$label = '';
$phrase = $_SESSION['phrase'] ?? '';
$message = '';
$info = 'You Can Now See Super Secret Information!!!';
$loggedIn = $_SESSION['isLoggedIn'] ?? FALSE;
$loggedUser = $_SESSION['user'] ?? 'guest';
if (!empty($_POST['login'])) {
// etc. -- identical to chap_12_captcha_text.php 即使是视图逻辑也是一样的,因为我们使用的是getImage(),在图片验证码的情况下,它直接返回可用的HTML。下面是使用TrueType字体的输出。
更多...
如果你不愿意使用前面的代码来生成自己的内部验证码,有很多库可以使用。大多数流行的框架都有这种能力。例如,Zend Framework有其Zend\Captcha组件类。还有reCAPTCHA,它通常是作为一个服务调用的,在这个服务中,你的应用程序调用一个外部网站,这个网站为你生成验证码和令牌。一个好的地方是http://www.captcha.net/ 网站。
关于将字体作为知识产权加以保护的更多信息,请参阅https://en.wikipedia.org/wiki/Intellectual_property_protection_of_typefaces。
