最近好多朋友遭遇驗(yàn)證碼被繞過(guò)灌水的事情，他們給了我代碼，一看果不其然！
我們先來(lái)分析下，有驗(yàn)證碼發(fā)布的流程
1，顯示表單
2，顯示驗(yàn)證碼（條用生成驗(yàn)證碼的程序）， 將驗(yàn)證碼加密后放進(jìn) session 或者 cookie
3，用戶提交表單
4，核對(duì)驗(yàn)證碼無(wú)誤，數(shù)據(jù)合法后 寫入數(shù)據(jù)庫(kù)完成

用戶如果再發(fā)布一條，正常情況下，會(huì)再次訪問(wèn)表單頁(yè)面，驗(yàn)證碼圖片被動(dòng) 更新， session 和 cookie 也就跟著變了
但是灌水機(jī)操作 不一定非要使用表單頁(yè)面，它可以直接 模擬post 向服務(wù)端程序 發(fā)送數(shù)據(jù)；這樣驗(yàn)證碼程序沒有被調(diào)用，當(dāng)然session和cookie存儲(chǔ)的加密驗(yàn)證碼就是上次的值，也就沒有更新，這樣以后無(wú)限次的通過(guò)post直接發(fā)送的數(shù)據(jù) ，而不考慮驗(yàn)證碼，驗(yàn)證碼形同虛設(shè)！

所以，在核對(duì)驗(yàn)證碼后 先將 session和cookie的值清空，然后做數(shù)據(jù)合法性判斷，然偶入庫(kù)！
這樣 一個(gè)漏洞就被補(bǔ)上了！

舉例：
表單頁(yè)面 生成驗(yàn)證碼圖片的程序 form 數(shù)據(jù)接受處理程序