面对短信验证接口的恶意攻击的解决办法

其他 2021-02-01 05:08:29 阅读次数: 0

现在网站注册、登录、报名等业务用到短信验证是很普遍的事情。但是这个口子对外开放了,就会有人恶意的输入手机号进行攻击,如果不做一点防范的话,几万条短信可能瞬间就给你用完。那么如果做到防止机器恶意刷短信呢。以下就是从三个方面来做。

1.一个手机号一天最多发4条。

2.同一个IP一天最多发10条。

3.同一个浏览器(唯一标识)最多可以发10条。

这三个条件只要一个条件成立就不再调用短信接口,大大降低的刷短信的难度。下面是一个PHP类,要使用的页面调整该类即可。

<?php 
Class regMod{
//定义全局变量,用于设置记录文件的路径
Protected $Root = null;
Public function __construct(){
	$this -> Root = "./data/msg_logs/";//自己定义的文件存放位置
}
//获取短信验证码操作(Ajax方法为好)
Public function get_authentication_code(){
	if ($_POST['uv_r'] && $_POST['tel']) {
		$ip=$_SERVER["REMOTE_ADDR"];//ip
		$tel = $_POST['tel'];//电话
		$uv_r = $_POST['uv_r'];//ur_r标识
		if(empty($uv_r)){
			$uv_r = 0;
		}
	}
	//无POST下的测试数据
	// $ip=$_SERVER["REMOTE_ADDR"];
	// $tel = "1381******2";
	// $uv_r = "superw001";
 
	//判断数据是否超过了限制
	$uvr_num = $this->checkUvr($uv_r);
	$tel_num = $this->checkTel($tel);
	$ip_num = $this->checkIp($ip);
 
	if ($uvr_num < 10 && $tel_num < 4 && $ip_num < 10) {
		Echo "发送验证码";//符合发送条件,发送验证码的操作
	} else {
		Echo "不发送验证码";
		//当不发送验证码时,将数据存入文件,用于方便查询
		$data = $tel . "|" . $ip . "|" . $uv_r . "|";
		if ($uv_r>0 && $uvr_num >= 10) {
			$data = $data . "A@";
		}
		if ($tel_num >= 4) {
			$data = $data . "B@";
		}
		if ($ip_num >= 10) {
			$data = $data . "C@";
		}
		$this->wirteFile("", $data);
		//$this->ajax_return(0, "您今日获取短信验证码的次数过多!");//给用户返回信息,ajax_return()为自写方法(未提供)
    }
}
//以下方法为私有方法
//检测ur_r在文件中出现的次数
Private function checkUvr($data){
    $fileName = "Uv_".date("Ymd",time()).".dat";
    $filePath = ($this -> Root).$fileName;//组装要写入的文件的路径
    $c_sum = 0;
    if(file_exists($filePath)){//文件存在获取次数并将此次请求的数据写入
        $arr=file_get_contents($filePath);
        $row=explode("|",$arr);
        $countArr=array_count_values($row);
        $c_sum = $countArr[$data];
        if($c_sum<10)
        {
            $this -> wirteFile($filePath,$data."|");
        }
        return $c_sum;
    }else{//文件不存在创建文件并写入本次数据,返回次数0
        $this -> wirteFile($filePath,$data."|");
        return $c_sum;
    }
}
//检测Tel在文件中出现的次数
Private function checkTel($data){
    $fileName = "Tel_".date("Ymd",time()).".dat";
    $filePath = ($this -> Root).$fileName;
    $c_sum = 0;
    if(file_exists($filePath)){
        $arr=file_get_contents($filePath);
        $row=explode("|",$arr);
        $countArr=array_count_values($row);
        $c_sum = $countArr[$data];
        if($c_sum<4)
        {
            $this -> wirteFile($filePath,$data."|");
        }
        return $c_sum;
    }else{
        $this -> wirteFile($filePath,$data."|");
        return $c_sum;
    }
}
//检测IP在文件中存在的次数
Private function checkIp($data){
    $fileName = "Ip_".date("Ymd",time()).".dat";
    $filePath = ($this -> Root).$fileName;
    $c_sum = 0;
    if(file_exists($filePath)){
        $arr=file_get_contents($filePath);
        $row=explode("|",$arr);
        $countArr=array_count_values($row);
        $c_sum = $countArr[$data];
        if($c_sum<10)
        {
            $this -> wirteFile($filePath,$data."|");
        }
        return $c_sum;
    }else{
        $this -> wirteFile($filePath,$data."|");
        return $c_sum;
    }
}
/**
* 将数据写入本地文件
* @param $filePath 要写入文件的路径
* @param $data 写入的数据
*/
Private function wirteFile($filePath,$data){
try {
        if(!is_dir($this->Root)){//判断文件所在目录是否存在,不存在就创建
            mkdir($this->Root, 0777, true);
        }
        if($filePath==""){//此处是不发送验证码时,记录日志创建的文件
            $filePath = ($this -> Root)."N".date("Ymd",time()).".dat";
        }
//写入文件操作
        $fp=fopen($filePath,"a+");//得到指针
        fwrite($fp,$data);//写
        fclose($fp);//关闭
    } catch (Exception $e) { print $e->getMessage();    }
}
 
}
 
$duanxin = new regMod();
$duanxin->get_authentication_code();
 
?>

前端浏览器生万的唯一标识ID使用的是JS方法,下面是具体的代码:

<!DOCTYPE html>
<html>
<head></head>
<body>
<!-- 隐藏表单uv_r标识,用于对获取验证码的浏览器进行限制,唯一标识存储于浏览器cookie中。在用户进行获取短信验证码操作时将标识传入后台代码(可以通过js传入后台,此处未提供js代码) -->
<input type="hidden" name="uv_r" value="" id="uv_r">
</body>
<script type=”text/javascript”>
/*
使用js获取cookie中ur_r唯一标识,如果不存在,生成唯一标识,js写入cookie,并将唯一标识赋给隐藏表单。
*/
 //唯一标识存入cookie
        var _uuid = getUUID();
        if(getCookie("_UUID_UV")!=null && getCookie("_UUID_UV")!=undefined)
        {
            _uuid = getCookie("_UUID_UV");
        }else{
            setCookie("_UUID_UV",_uuid);
        }
        document.getElementById("uv_r").value = _uuid;//赋给hidden表单
        //生成唯一标识
        function getUUID()
        {
            var uuid = new Date().getTime();
            var randomNum =parseInt(Math.random()*1000);
            return uuid+randomNum.toString();
        }
        //写cookie
        function setCookie(name,value)
        {
            var Days = 365;//这里设置cookie存在时间为一年
            var exp = new Date();
            exp.setTime(exp.getTime() + Days*24*60*60*1000);
            document.cookie = name + "="+ escape (value) + ";expires=" + exp.toGMTString();
        }
        //获取cookie
        function getCookie(name)
        {
            var arr,reg=new RegExp("(^| )"+name+"=([^;]*)(;|$)");
            if(arr=document.cookie.match(reg))
                return unescape(arr[2]);
            else
                return null;
        }
</script>
</html>

猜你喜欢

转载自blog.csdn.net/qq_28471389/article/details/110003067
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022