我们先来分析下,有验证码发布的流程
1,显示表单
2,显示验证码(条用生成验证码的程序), 将验证码加密后放进 session 或者 cookie
3,用户提交表单
4,核对验证码无误,数据合法后 写入数据库完成
用户如果再发布一条,正常情况下,会再次访问表单页面,验证码图片被动 更新, session 和 cookie 也就跟着变了
但是灌水机操作 不一定非要使用表单页面,它可以直接 模拟POST 向服务端程序 发送数据;这样验证码程序没有被调用,当然session和cookie存储的加密验证码就是上次的值,也就没有更新,这样以后无限次的通过POST直接发送的数据 ,而不考虑验证码,验证码形同虚设!
jianke 发表于 2013-12-19 12:05
验证码不可能放cookie ,肯定SESSION,SESSION是在服务端的,亲
所以秒杀器做验证码识别更靠谱些 ...
欢迎光临 全球主机交流论坛 (https://91ai.net/) | Powered by Discuz! X3.4 |