PHP图形验证码核心是GD库动态绘图,需启用GD扩展、生成无混淆随机字符串存入session、绘制带干扰的图像,并确保输出无空白字符。
PHP生成图形验证码的核心是利用GD库动态绘制图像,结合随机字符串、干扰元素和会话存储实现防刷验证。关键不在代码多复杂,而在每一步是否踩准安全与可用的平衡点。
准备GD扩展与基础环境
确保PHP已启用GD库(常见于Linux的gd.so或Windows的php_gd2.dll),可通过phpinfo()确认GD Support为enabled。若未开启,需在php.ini中取消对应扩展前的分号,并重启Web服务。
生成随机验证码字符串
避免使用易混淆字符(如0/O、1/l/I),推荐从大小写字母+数字中筛选出32个清晰可辨的字符:
- 定义字符集:$chars = '23456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz';
- 用str_shuffle()打乱后取前4–6位,保证不可预测性
- 将生成的字符串存入$_SESSION['captcha_code'],注意开启session_start()
绘制图像并添加干扰
创建画布后,重点在于“足够识别、足够干扰”:
立即学习“PHP免费学习笔记(深入)”;
- 用imagecreatetruecolor(120, 40)设定宽高,背景用浅灰imagecolorallocate($im, 240, 240, 240)
- 验证码文字逐字绘制,位置、角度、颜色随机(建议3–4种相近色,避免反差过强)
- 叠加5–8条干扰线(imageline)和20–30个噪点(imagesetpixel),颜色略深于背景即可
输出与前端配合要点
图像输出必须干净无多余空格或BOM,否则浏览器无法解析:
- 设置Header:header('Content-Type: image/png');
- 调用imagepng($im)后立即imagedestroy($im)释放资源
- 前端img标签src指向验证码脚本(如captcha.php),添加时间戳参数防止缓存:
基本上就这些。不复杂但容易忽略session写入时机、GD函数返回值判断、以及输出前的空白字符——这三处出错,验证码就只显示红叉或空白。
