这段时间一直在考虑网站程序的安全性。尤其是上次听说“微凉”用爆破的手段直接登录了博客小屋的后台。这倒是为我敲响了警钟。虽然我的密码一般都是中文,而我开发的Bloghome程序,在COOKIES的验证上采用的是md5。
无论是什么内容,在md5加密后只有32位。所以,登录博客小屋的后台,只需要验证您COOKIES中sid那32位和密码是不是一样......
于是,只需要一个爆破的小手段,就可以随意的进入bloghome后台。不知是不是万幸,当时的博客小屋,只是一个半成品。后台只有添加博客的功能。而不是现在这样完善。
于是,我以最快的速度完善博客小屋,并且新增了一个简单的验证码。同时,对于梦幻辰风登录页面,我也开了验证码~毕竟,有一就有二。
所以很多时候,该死的验证码并非一无是处。
*以下为一个简单验证码实例,代码来源于网络
<?php
session_start();
error_reporting(0);
//session_register(rand);//唯一丶修改 此行不需要
$rand=$_SESSION['rand']=rand(10000,99999);
Header("Content-type: image/gif");//通知浏览器将要输出GIF图片
//准备图片的相关参数
$im = imagecreate(60,20);//图片大小
$color2 = ImageColorAllocate($im,rand(150,200),rand(150,205),rand(150,200));//RGB标识符
imagefill($im,0,0,$color2);//填充背景
$color3 = ImageColorAllocate($im,rand(0,255),rand(0,0),rand(0,255));
//imagestring($im, 5, 3, 3, $rand, $color3);//开始绘图
imagestring($im, 5, 8, 2, $rand, $color3);
ImageGIF($im);//输出验证图片
ImageDestroy($im);//释放图像内存
//使用方法:
//<img src="本文件.php">
//提交的验证码值与$_SESSION['rand']相等即可。
//记得开启session
?>
好了,希望2016,我们能为自己的世界,添加更安全的防护。当然,对于评论我不建议开启验证码,毕竟对自己难受,比对别人难受好点。
A·shadow姜辰 微信/QQ:<已隐藏>