验证码刷新必须同步更新图片和session值,即“换值+换图”;前端仅替换img src并保留输入内容;校验时需比对captcha_id防重放;中文显示需正确设置字体路径与编码。
验证码图片刷新时如何避免 session 错乱
php 验证码图片刷新如果只重绘图像而不更新 session 中的验证码值,用户输入永远校验失败。关键不是“换图”,而是“换值+换图”同步进行。
常见错误是前端点击刷新按钮只请求 captcha.php,但后端没在生成新图的同时调用 $_SESSION['captcha'] = $new_code,导致 session 里还是旧值。
- 每次生成图片前,必须先生成新随机码,并立即写入
$_SESSION['captcha'] - 确保
session_start()在脚本最开头(且无任何输出),否则 session 写入失败 - 不要在验证码生成脚本里做
exit或die之前跳过 session 赋值 - 若使用 GD 绘图,
imagepng()后记得imagedestroy(),避免内存泄漏影响后续请求
前端点击刷新按钮如何不丢失用户已输内容
单纯用
正确做法是:刷新图片时,保留用户已输入的验证码文本,仅替换 src,并重置校验状态(如移除 success/Error class)。
立即学习“PHP免费学习笔记(深入)”;
- 给验证码 input 添加 id,例如
- 刷新按钮绑定 js,用
document.getElementById('captcha-img').src = 'captcha.php?' + date.now() - 不要用
location.reload()或表单重载,那会清空所有字段 - 可加个
data-timestamp属性记录本次图片生成时间,用于后端比对请求时效(防重放)
提交时如何校验“输入值是否匹配本次图片对应值”
用户看到的验证码图片和他提交的字符串,必须来自同一轮生成;否则存在时间差导致的误判。不能只比对 session 值,还要确认该 session 值未被下一次刷新覆盖。
典型漏洞:用户 A 打开页面拿到验证码 1234,还没提交,又点了刷新,session 变成 5678;此时他仍用 1234 提交,后端却拿 5678 校验,失败——但这其实是合理行为,不应允许。
- 在生成验证码图片时,把当前值存入 session,并同时写入一个唯一标识,如
$_SESSION['captcha_id'] = uniqid() - 前端把
captcha_id隐藏域一起提交: - 后端校验时,先查提交的
captcha_id是否等于当前 session 中的captcha_id,再比对值 - 校验成功或失败后,立即
unset($_SESSION['captcha_id'], $_SESSION['captcha']),防止复用
GD 生成验证码图片时中文乱码或空白怎么办
用 imagefttext() 写中文却显示方块或空白,90% 是字体路径错误或字符编码不一致。PHP 默认不加载中文字体,也不能直接传 UTF-8 字符串进 GD 函数。
- 确保字体文件真实存在,路径用
__DIR__ . '/simhei.ttf'这种绝对路径,别用相对路径 - 传入
imagefttext()的字符串必须是 GBK 编码(windows 下常见)或 UTF-8(需字体支持),推荐统一转 GBK:iconv('UTF-8', 'GBK//IGNORE', $text) - 检查 PHP 是否开启
gd扩展:extension=gd在php.ini中启用 - 若用 docker,确认镜像含 freetype 和 fontconfig 支持,否则
imagefttext()直接返回 false
实际最难处理的不是生成或刷新,而是多标签页并发操作时的 session 竞态——用户在两个 tab 同时刷验证码,session 值被覆盖,其中一个 tab 必然失效。这种场景需要更精细的状态管理,比如把验证码绑定到某个 Token 或 request_id,而不是全靠 session 全局变量。