尝试抛弃验证码吧~（理论+实例）

验证码作为防止表单垃圾信息普遍采用的方法，一直被广泛使用。但是同时它造成了很不好的用户体验，为合法用户的正常操作带来不便。本文介绍了一种抛弃使用验证码的方法，来防止自动程序进行垃圾信息的提交。

以前见过类似的方法，这几天在中文版的《15天学会jQuery》上看到了原作者有关的链接（http://15daysofjquery.com/examples/contact-forms/），简单试验了一下效果不错。首先说明一下整体流程，主要对原文总述部分进行了简单翻译：

1、当表单被载入后，我们创建一个到PHP文件的AJAX调用；

2、该PHP文件将取得当前时间（依靠服务器，并不是访问者的浏览器）；

3、该PHP文件将结合时间戳，加上一个加密的字（用户自定义的一个字符串——译者注），产生一个32位的“哈希”并把它作为cookie存储到访问者的浏览器上；

4、jQuery将接收这个从AJAX调用来的时间戳信息，并将该哈希值或“令牌”作为表单的隐藏标签而存储；

5、当该表单为处理而被发送，这个时间戳的值（表单中的——译者注）将和存储在cookie中的32位字符“令牌”做比较；

6、如果信息不匹配，或是丢失，又或者时间戳过期，我们将终止表单处理的执行，同时这个垃圾邮件发送者将会把目标转移到另一个简单的猎物上（放弃我们这个目标——译者注）。

通过上面的介绍，相信大家已经基本明白了吧。核心部分就是在页面被载入时，采用AJAX动态创建一个特定的隐藏表单元素，该元素只有在真正用户访问时才会存在，对于自动化的“机器人”来说是不存在的。好了，下面我们来动手做个简单的例子实践一下：

这里需要3个文件：前端提交表单的页面test.html，提交后的后端处理页面test.php，以及用户产生“令牌”的AJAX页面do.php。（没错，前两个页面也可合并为一个）

首先当然是创建表单了：

<form method="post" name="form1" action="test.php">

<label>请输入内容:<input type="text" name="message" /></label>

<label><input type="submit" name="submit" /></label>

</form>  接下来用javascript实现AJAX，在页面加载完毕后从do.php获取“令牌”（这里使用jQuery的方法）： $().ready(function(){

$.get("do.php", function(txt){

$("form[name=form1]")

.append('<input type="hidden" name="ts" value="' + txt + '">');

})

});  “令牌”是怎么产生的呢？当然是从do.php中来的啦： <?php

//PHP5.1后可用$_SERVER['REQUEST_TIME']代替time()，更高效

$now = $_SERVER['REQUEST_TIME'];

//把时间戳与自定义字符串（我这里用的“linvo”）拼接后进行哈希，并存入cookie

//参数0说明该cookie随浏览器关闭而失效

setcookie('token', md5('linvo'.$now), 0);

echo $now;

?>  下面开始验证吧： <?php

$seconds = 60 * 10; //有效时间

if(!isset($_POST['ts']) || empty($_POST['ts'])) {

die('你是机器人吧');

}

if(!isset($_COOKIE['token'])) {

die('父令牌丢失');

}

if(intval($_POST['ts']) + $seconds < $_SERVER['REQUEST_TIME']) {

die('令牌已失效');

}

if(md5('linvo'.$_POST['ts']) != $_COOKIE['token']) {

die('令牌错误');

}

echo '提交成功！<br />';

echo '你提交的消息是:'.$_POST['message'];

?>  到这里，已经基本实现了防止自动化程序提交的功能。再完善一点的话，在产生“令牌”时可以加上防止缓存的代码，如： header("Cache-Control: no-store, no-cache, must-revalidate");

header("Cache-Control: post-check=0, pre-check-0", false);

header("Pragma: no-cache");  好了，测试一下效果吧。当然，验证码也不是毫无用处，比如可以为那些手动提交垃圾信息的人带来阻碍等。大家可以尝试一下，具体情况当然还得具体对待:)