php生成验证码核心是用gd库绘制文字和干扰元素并输出图像流,需启用gd扩展;基础实现用imagecreate()创建画布、imagestring()写入文字,注意配色对比、尺寸适中及header设置;增强识别难度需合理添加随机干扰线/点、微偏移和字体路径正确配置,并严格管理session生命周期。
PHP 生成验证码图片,核心是用 GD 库绘制文字+干扰元素,并通过 HTTP 响应输出图像流。不依赖第三方扩展,但必须确保服务器启用了 gd 扩展(运行 php -m | grep gd 可验证)。
怎么用 imagecreate() 和 imagestring() 画出基础验证码
这是最轻量的实现方式,适合简单校验场景。关键不是“画得多好看”,而是让 OCR 难识别、人眼可读:
-
imagecreate(120, 40)创建画布,宽高不宜过小(否则文字挤在一起),也不宜过大(浪费内存) - 用
imagecolorallocate()分配背景色和文字色,避免相近色值(比如浅灰字+白底) -
imagestring()只支持默认位图字体,不能指定字体文件;若需中文字体或自定义字体,必须改用imagettftext() - 务必在输出图像前调用
header('Content-Type: image/png'),否则浏览器会把二进制当乱码显示
session_start();
$code = substr(str_shuffle('23456789ABCDEFGHJKLMNPQRSTUVWXYZ'), 0, 4);
$_SESSION['captcha'] = $code;
<p>$img = imagecreate(120, 40);
$bg = imagecolorallocate($img, 240, 240, 240);
$text = imagecolorallocate($img, 85, 85, 85);
imagestring($img, 5, 20, 12, $code, $text);
header('Content-Type: image/png');
imagepng($img);
imagedestroy($img);为什么加干扰线/点后反而被自动识别了
很多教程无脑加 imagesetpixel() 或 imageline(),结果适得其反——干扰太规律(如等距横线)或太弱(稀疏噪点),反而成了机器学习模型的特征锚点:
- 避免用固定步长循环画线,改用
rand(0, 120)随机起点+随机角度+随机长度 - 干扰点密度控制在每像素 0.5%~1.5%,太多会糊字,太少无效;可用
for ($i = 0; $i - 不要只加一种干扰:组合使用轻微扭曲(
imageaffine())、低透明度覆盖层、文字微偏移(每个字符 x 坐标加rand(-2,2))效果更好
imagettftext() 报错 “Could not find/open font” 怎么办
这个错误几乎都源于路径问题,不是字体本身损坏:
立即学习“PHP免费学习笔记(深入)”;
- 绝对路径优先:用
__DIR__ . '/fonts/arial.ttf',别用相对路径如'./fonts/arial.ttf' - 确认文件存在且 PHP 进程有读取权限(
is_readable()检查) - Linux 下注意大小写:
ARIAL.TTF≠arial.ttf;Windows 不敏感,但部署到生产环境(通常是 Linux)就会崩 - 中文验证码慎用免费字体:很多「思源黑体」「Noto Sans CJK」体积大、渲染慢;推荐用精简版
simhei.ttf(黑体)或msyhbd.ttf(微软雅黑 Bold)
验证码 session 存储失效或被绕过怎么办
图形验证码本质是服务端状态 + 客户端输入比对,最容易被忽略的是生命周期管理:
- 生成验证码时立即写入
$_SESSION['captcha'],并设置过期时间戳:$_SESSION['captcha_time'] = time(); - 验证时检查
time() - $_SESSION['captcha_time'] > 300(5 分钟),超时即清空并返回失败 - 验证成功后立刻
unset($_SESSION['captcha']),防止重放;不要等页面刷新才清理 - 如果用 Redis 存储验证码(多服务器部署必需),key 要带唯一标识如
captcha:ip:123.123.123.123:token_abc,避免不同用户冲突
真正难的不是画图,而是平衡可访问性(色弱用户看清)、安全性(防 OCR + 防重放)和性能(GD 占 CPU、字体加载耗时)。一个没加旋转+没设超时+字体路径硬编码的验证码,在真实环境中撑不过半天。
