验证码必须设置过期机制,可通过session绑定时间戳、redis自动过期、数据库时间字段校验或文件mtime四种方式实现,确保5分钟内有效并及时清理。
如果您在PHP中生成验证码但未设置过期时间,可能导致验证码长期有效,带来安全风险。以下是实现验证码过期机制的具体方法:
一、使用Session存储并绑定时间戳
将验证码字符串与生成时间一同存入Session,每次验证前比对当前时间与存储时间的差值,判断是否超时。
1、生成验证码时,同时记录当前时间戳:
$_SESSION['captcha_code'] = $code;
$_SESSION['captcha_time'] = time();
2、验证前检查是否存在且未超时(例如设定5分钟有效期):
if (!isset($_SESSION['captcha_code']) || !isset($_SESSION['captcha_time']) || (time() - $_SESSION['captcha_time']) > 300) {
return false;
}
立即学习“PHP免费学习笔记(深入)”;
3、验证成功后立即清除Session:
unset($_SESSION['captcha_code'], $_SESSION['captcha_time']);
二、使用Redis存储并设置自动过期
利用Redis的键过期特性,将验证码作为键值对写入,并指定TTL,避免手动时间比对,降低服务端逻辑复杂度。
1、生成验证码后,写入Redis并设置300秒过期:
$redis->setex('captcha:' . $session_id, 300, $code);
2、验证时直接获取值,若返回false或null则表示已过期或不存在:
$stored_code = $redis->get('captcha:' . $session_id);
if ($stored_code !== $input_code) { return false; }
3、验证通过后删除该键以防止重复使用:
$redis->del('captcha:' . $session_id);
三、数据库记录+时间字段校验
将验证码及其创建时间存入数据库表,验证时通过SQL WHERE条件过滤掉超时记录,确保时效性可审计、可追溯。
1、建表语句需包含code、session_id、created_at字段:
CREATE TABLE captcha_log (
id INT AUTO_INCREMENT PRIMARY KEY,
session_id VARCHAR(128),
code VARCHAR(10),
created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);
2、插入新验证码时使用NOW():
INSERT INTO captcha_log (session_id, code, created_at) VALUES (?, ?, NOW());
3、验证时限定5分钟内有效:
SELECT code FROM captcha_log WHERE session_id = ? AND code = ? AND created_at >= DATE_SUB(NOW(), INTERVAL 5 MINUTE);
4、验证成功后立即删除对应记录:
DELETE FROM captcha_log WHERE session_id = ? AND code = ?;
四、基于文件系统临时存储并检查mtime
将验证码内容写入以session_id命名的临时文件,并利用文件修改时间(mtime)判断是否过期,适用于无Redis/数据库的轻量部署环境。
1、生成验证码后写入文件并记录时间:
$file = '/tmp/captcha_' . session_id();
file_put_contents($file, $code);
2、验证前检查文件是否存在且未超时:
if (file_exists($file) && (time() - filemtime($file)) $stored = file_get_contents($file);
}
3、验证通过后删除文件:
unlink($file);
五、使用PHP内置APCu缓存并设置TTL
借助APCu的apcu_store函数自带的过期参数,在内存中高速缓存验证码,避免I/O开销,适合高并发短时效场景。
1、存储验证码时指定300秒过期:
apcu_store('captcha_' . session_id(), $code, 300);
2、读取时无需手动判断时间,apcu_fetch自动返回false若已过期:
$stored = apcu_fetch('captcha_' . session_id());
if ($stored !== $input_code) { return false; }
3、验证成功后显式清除:
apcu_delete('captcha_' . session_id());
