PHP+jQuery 注册模块改进：验证码安全存储SESSION实现

"这篇文章主要介绍了如何改进PHP+jQuery的注册模块，将验证码安全地存入SESSION，以增强网站的安全性。作者指出，不应将验证码直接返回到客户端的隐藏域，因为这可能导致验证码被篡改，失去其验证用户身份的作用。改进后，验证码将在服务器端通过SESSION来管理和验证。" 在PHP中，SESSION是一种存储用户会话数据的方法，它可以在用户的不同页面请求之间持久保存数据。在本例中，验证码的生成和验证过程发生了以下改变： 1. **开启SESSION**: 首先，在`register.php`文件的顶部使用`session_start()`启动SESSION，这是使用PHP SESSION的前提。 2. **生成随机数**：在PHP中定义了一个名为`showval`的函数，该函数生成一个4位的随机字符串，包含字母和数字。这样可以确保验证码的复杂性，增加破解难度。 3. **加密随机数**：生成的随机数通过`md5()`函数进行加密，得到`$mdnum`。MD5是一种常用的哈希函数，它可以将任意长度的数据转化为固定长度的哈希值，但不可逆，增加了数据安全性。 4. **存入SESSION**：将未加密的随机数（`showval`的返回值）和加密后的随机数（`$mdnum`）分别存储到SESSION变量`$_SESSION['num']`和`$_SESSION['mdnum']`中。这样，验证码在服务器端安全地保存，不会暴露给客户端。 5. **显示验证码**：在HTML部分，验证码图片通过`<img>`标签加载，其`src`属性指向`valcode.php?num=<?php echo $mdnum; ?>`，这个URL参数包含了加密后的随机数，用于验证图片上的验证码输入是否正确。 6. **刷新验证码**：为了允许用户刷新验证码，提供了一个链接或按钮，其触发的是图片的重新加载，而不是重新向服务器请求验证码。这意味着新的验证码将在服务器端生成并替换旧的SESSION中的值。 这种改进后的注册模块增强了安全性，防止了验证码被恶意篡改。用户输入的验证码将与服务器端SESSION中的值进行比较，只有两者一致时，注册操作才能继续，从而有效地防止了自动化的机器人攻击和无效注册。