要弄清楚为什么要加验证码功能，验证码如果没有做的好，就等于形同虚设，一般性的验证码能够防刷以及机器注册等等， 你所说的暴力破解，是属于另一种情况，是因为验证码本身太简单而容易被破解软件识别，一般的由数字和字母构成，这也是为什么有的网站的验证码做成模糊的斜线或者虚线干扰形式的原因，验证码存取一般都会用session，cookie也可以，服务器端除了要做匹配验证、非空验证，而且一旦一次请求完毕，必须把session或者cookie清除掉，否则和没有验证码是一样的。。。。

验证码不过是一道虚掩的门，有专门的服务拆验证码（1分钱左右一个），题主死心吧。

是你验证码太简单，和语言没关系。

不用 cookies 就用网址传 session。

cookies也是基于session的，但是只要是程序就有破解的可能，只能说做好安全措施，提高破解的门槛方为上策