使用Thinkphp5 做的一个网站,最近搞促销,送5元代金券的样子吧..
使用邮箱验证码验证,注册页面有图片验证码
可惜一点用都没有
一个晚上,被刷了400个用户,最终阿里云邮箱服务爆炸(无法继续注册),才停止注册
注册机操作猛如虎啊!。到底是怎么做到的??
thinkphp自带的验证码一下就破解了
这个可以说是吧..,但是邮箱是需要验证的,他注册的也全部秒验证了
接下来会把验证码替换成 geetest 的吧..
15 回答
Smart猫小萌
TA贡献1911条经验 获得超7个赞
老套路了,自古以來所有前端的input全都不安全,所有的安全性防範應該都在後端進行。
2種取巧思路:
1.. 計算'從頁面載入' 至 '表格提交' 的時間
機器提交的速度很快,人手是很難達到機器的速度,因此可以在後端判斷提交時間的可接受時間範圍。
2.. 表格裏加一個不可見且不必要的input
機器的特性是把所有input都會自動填上,假如在表格裏加上一個input name="gender",用css把該input放在用戶看不到的地方(非隱藏,機器可識別隱藏),這代表用戶不用填寫這個input,但是機器又填上了,在後端判斷一下,假如$_POST['gender'] 有值,不註冊。
- 15 回答
- 0 关注
- 677 浏览
添加回答
举报
0/150
提交
取消