php 7+ 应使用 random_bytes() 生成安全随机字符串,配合 bin2hex() 或 base64_encode() 转换,并从去混淆字符集(如 ‘23456789abcdefghjklmnpqrstuvwxyz’)中用 random_int() 抽样生成验证码。
用 random_bytes() 生成安全随机字符串
PHP 7+ 推荐直接用 random_bytes(),它调用操作系统真随机源(如 /dev/urandom),不是靠时间或进程 ID 猜的,适合验证码、Token 等需要防预测的场景。
常见错误是拿 mt_rand() 拼接字符串——它可被爆破,验证码一抓一个准。
-
random_bytes(16)返回的是二进制字节,得转成可读字符:用bin2hex()得十六进制(长度翻倍),或用base64_encode()后再过滤非字母数字(str_replace(['+', '/', '='], '', ...)) - 别用
uniqid()或microtime()—— 它们有规律、可推测,验证码发出去等于公开密钥 - 如果必须兼容 PHP 5.6,可用
openssl_random_pseudo_bytes(),但得检查第二个参数是否为true,否则 fallback 不安全
生成固定长度、指定字符集的验证码字符串
验证码通常只要数字+大写字母(避免 0/O、1/l 混淆),不能直接扔一堆乱码给用户看。
关键不是“随机”,而是“可控随机”:先定义字符池,再从中抽样。
立即学习“PHP免费学习笔记(深入)”;
- 字符集建议用
'23456789ABCDEFGHJKLMNPQRSTUVWXYZ'(去掉易混字符),长度设为 4–6 位较平衡识别与安全性 - 抽样必须用
random_int(0, strlen($pool) - 1),不是mt_rand();PHP 7+ 可用str_shuffle()配合substr(),但注意str_shuffle()内部用的是rand(),不安全,别这么干 - 示例:
$pool = '23456789ABCDEFGHJKLMNPQRSTUVWXYZ'; $code = ''; for ($i = 0; $i < 4; $i++) { $code .= $pool[random_int(0, strlen($pool) - 1)]; }
验证码图片里中文乱码或字体不显示
用 imagefttext() 写中文却出方块?大概率是没指定中文字体路径,或字体文件本身不支持 GBK/UTF-8。
GD 库默认只认英文,imagettftext() 的第 5 个参数必须是真实存在的 .ttf 文件绝对路径,相对路径基本失效。
- linux 下别写
'simhei.ttf',得写/usr/share/fonts/truetype/wqy/wqy-microhei.ttc这类全路径;用file_exists()先校验 - 字体文件需有读权限,且 Web 进程(如 www-data)能访问;容器环境常因挂载遗漏导致字体 404
- 中文字符串传入前确保是 UTF-8 编码,用
mb_convert_encoding($text, 'UTF-8', 'auto')保险些;GD 不吃 UTF-8 直出,得靠字体文件内建编码映射
session 未正确绑定导致验证码总提示“错误”
用户输入没错,后端却始终判错——八成是 session 没启动,或验证码存到 session 之前已输出内容(触发 headers already sent)。
验证码比对逻辑依赖 session 中存储的原始值,而 session 依赖 PHP 的 cookie 和服务端存储,任一环节断掉就失效。
- 务必在脚本最开头(甚至早于
<?php前空白符)调用session_start();检查有没有 bom 头、echo、var_dump 干扰 - 存验证码时用
$_SESSION['captcha_code'] = $code;,比对时严格区分大小写,建议统一转大写:strtoupper($_POST['code']) === strtoupper($_SESSION['captcha_code']) - 验证码用完即销毁:
unset($_SESSION['captcha_code']),否则重放一次就能反复用
真正麻烦的不是生成字符串,而是让整个链路——随机源、字符集、字体加载、session 生命周期——都稳在同一个上下文里。少一个 session_start(),或字体路径多一个斜杠,验证码就成摆设。