短信防刷办法

最新推荐文章于 2026-04-10 16:03:00 发布
原创 最新推荐文章于 2026-04-10 16:03:00 发布 · 2.5k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#短信 #验证码

短信接口在业务中是必然会有的,那么怎么保证接口被刷呢?
我简单总结一下我的想法

  1. 首先可以考虑在页面上加上 验证码。可以减少人为的刷票
  2. 大量的被刷还应该是直接对接口的调用,这里面应该怎样防止被刷呢
  3. 可以考虑业务端 和 借口段 对应 token 识别表单令牌是否合法,但是这个令牌必须要一直变。不变的话就没有意义了。(时间,其他的变化的参数都可以成为token的元素)
  4. 还可以考虑对IP的限制。每个IP不可以调用太多的接口
  5. 每个手机号每天的调用次数也要限制
  6. 这些都有可能被攻克,做好预警监控机制。一段时间短信变化明显,或者超过预期的数量,要及时查看系统是否正常运行,
/**
     * 手机登录验证码
     * @author marain
     * @time  2017-06-27
     * 
     */
    public function get_code(){
        $phone  =   $_REQUEST['tel'];
        $token_key =   $_REQUEST['token_key'];
        $key='marain';
        $now=date('Y-m-d');
        $signkey=md5($key.$now.$phone.'marain'); //根据手机号和时间产生 token

        if ($token_key !== $signkey){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4001:令牌错误';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if ($phone==''){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4002:电话不能为空';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        if (!preg_match("/^1[34578]\d{9}$/", $phone)){
            $result = array();
            $result['code']     =400;
            $result['msg']      ='4003:电话格式不正确';
            $result['info']     = '';
            echo json_encode($result);
            exit();
        }
        $ip=get_client_ip();
        $where_ip['create_ip']=$ip;//ip控制

        $sms_data = M('App_sms')->where($where_ip)->select();
        $today_date = date('Y-m-d');
        $total_onoip_count=0;
        foreach ($sms_data as $k1=>$v1){
            if(substr($v1['create_time'],0,10) == $today_date){
                $total_onoip_count++;
            }
        }
        if (count($sms_data) > 500){
           //ip 大于500报警
        }
        if ($total_onoip_count> 100){
            //单日ip 大于100报警
        }

        $where_who['tel_number']=$phone;
        $sms_data = M('App_sms')->where($where_who)->order("id desc")->select();

        //这个手机号没有注册
        if(empty($sms_data)){
            $code = $this->_create_code();
            $this->send_sms($phone, $code, $ip);
            $result = array();
            $result['code']    =200;
            $result['msg']    ='获取成功';
            $result['info']     = $code;
            echo json_encode($result);
            exit();
        }

        $total_send_count = 0;
        foreach($sms_data as $key1=>$row1){
            if(empty($key1)){
                $last_send_time = $row1['create_time'];
            }
            if(substr($row1['create_time'],0,10) == $today_date){
                $total_send_count++;
                $code = $row1['code'];
            }
        }
        if(empty($code)) $code = $this->_create_code();

        if((strtotime($last_send_time) + 60) > time()){
            $result['code']    =400;
            $result['msg']    ='4004:获取失败,请不要频繁获取';
            $result['info']     = '';
        }else{
            if($total_send_count < 30){
                $this->send_sms($phone, $code, $ip);
                $result['code']     =200;
                $result['msg']      ='获取成功';
                $result['info']     = $code;
            }else{
                $result['code']    =400;
                $result['msg']    ='4005:获取失败,每人每天只能获取三十次验证码';
                $result['info']     = '';
            }
        }
        echo json_encode($result);
        exit();
    }

    /**
     * 产生验证码
     */
    public function _create_code($length=4,$type="number"){
        $array = array(
            'number' => '0123456789',
            'string' => 'ABCDEFGHIJKLMNOPQRSTUVWXYZ',
            'mixed' => '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ',
        );
        $string = $array[$type];
        $count = strlen($string)-1;
        $rand = '';
        for ($i = 0; $i < $length; $i++) {
            $rand .= $string[mt_rand(0, $count)];
        }
        return $rand;
    }
private function send_sms($mobile, $code, $ip){
        if(empty($mobile) || empty($code) || empty($ip)) return false;
        $content = '您的注册验证码是'.$code;
          $url='发送短信接口'
        //$send_result = file_get_contents($url);
        $data = array();
        $data['tel_number'] = $mobile;
        $data['content'] = $content;
        $data['code'] = $code;
        $data['create_time'] = date('Y-m-d H:i:s');
        $data['create_ip'] = get_client_ip();
        $data['send_result'] = $send_result;
        $insertid = M('App_sms')->add($data);
        if($insertid) return true;
        return false;
    }
会员注册短信接口被攻击,如何
GUYSGO的专栏
05-26 1386
网站或者APP注册页面,因为获取短信验证码的功能是暴露在外的,短信接口有可能被短信轰炸机攻击,那短信验证码策略如何做呢?首先我们来了解一下短信接口攻击: 什么是短信接口攻击? 个别用户出于不正当目的,自己或者委托第三方使用 “短信接口轰炸软件”,短时间内在各应用页面(主要是注册页面)模拟输入被攻击者的手机号码,批量、循环提交请求,给一些手机号码无限发送各种无效短信(如短信验证码)的行为,导致无辜的手机用户被骚扰。 短信接口攻击带来的影响 1、用户在无任何操作情况下,莫名收到大量短信验证码,对用户
初涉C#防止黑客攻击站短
weixin_30241919的博客
12-08 206
一、同一个IP如果在一分钟内连续发送5个站短可以认为是不正确的,原因有2方面: 1、发站短的页面是有点击按钮,点击按钮后马上按钮会变为不可点击,所以在前端要防止点击一次触发多次的情况 2、发送短信的URL一定是Post提交,并且前一页面是本网的地址 3、为什么要设置5个,是因为防止1分钟可能有同一个IP(例如同一个公司,同一个学校)在同一分钟有人在申请站短 4、封黑名单的方式分为两步骤:...
【架构实战】API接口与限流策略
最新发布
分享技术应用、实践场景等,评论区开放技术难题讨论,共同成长进步。
04-10 211
文章摘要: 本文系统介绍了接口的常见攻击类型(暴力破解、恶意爬虫等)及护策略。重点讲解了三种限流算法:计数器算法通过Redis实现简单计数限流;滑动窗口算法使用ZSet记录时间窗口内的请求;令牌桶算法动态控制请求速率。针对分布式场景,提出了Lua脚本限流和Sentinel限流方案,确保高并发下的系统稳定性。此外,详细阐述了签名验证、时间戳重放和唯一请求ID等策略,通过参数签名、时效性校验和幂等性控制有效范恶意请求。文中提供的Java代码示例可直接应用于实际开发,为构建安全的API接口提供实用参
漏洞解决方案-短信炸弹攻击
热门推荐
smart的博客
08-18 1万+
短信炸弹攻击一、前置知识二、修复方案三、代码参考 一、前置知识 短信炸弹攻击,就是通过把发送短信验证码的报文截获后进行重放造成的攻击。 威胁描述: 如果短信炸弹攻击成功,攻击者可以向该手机号一直不停的发送短信,不但因短信过多发送造成经济损失,甚至会使短信系统崩溃,无法正常提供服务。 涉及功能点: 任何涉及短信验证码发送的功能点,如用户注册、登录、转账等功能。 二、修复方案 前端控制,通过图形验证码的验证,如果验证不通过则不允许发送短信; 其次为防止类似httpclient工具直接请求没有session的情
避免短信接口被黑客攻击的方式
WLANQY的博客
01-16 565
这里为大家介绍了四个简单易行的避免短信服务接口被调用的方法,以及实际使用中的注意事项。限制短信的发送频率,限制同一电话号码、同一IP的短信发送次数,增加图形验证码,增加短信火墙,都可以提高黑客攻击接口的难度。在实际的接口护中,组合使用可以大大降低企业接口被攻击的风险,但是要注意确保真实用户的使用体验。护方案最好在对接短信接口时同时实施,避免受到攻击后因难以立即发布新的应用版本遭受损失。作者:香芋味的猫丶。
C#进行短信验证码发送
DarkAfraid的博客
12-12 643
C#进行短信验证码发送 这里是使用容联云进行短信验证码发送(主要就是调用一个api接口) 现需要去官网注册一个账号 https://www.yuntongxun.com/ 他可以让你提供了几个电话号码用于测试使用 然后按照上面文档所说调用api,注意传的数据 public static string SendMessage(string tel) { ...
redis 的集群配置实例-短信项目有感2 短信控制
ywj776199845的专栏
08-03 405
1.短信设置有感 我们做redis集群 可能有2种方式 : 1.使用JedisCluster 2.使用RedisTemplate 短信功能使用的是第一种   一定要注意 使用这些组件一定要写一个配置类将属性值注入到相应的+工具类里面,就像是 对一个jdbc连接赋值连接配置一样,特别是这种集群的配置更有点意思需要好好琢磨 这两种功能均遇到了一些问题 比如端口连不上 但是根据断点源码发现...
【PHP开发900个实用技巧】214.PHP发送短信: 集成短信接口的通用姿势!
06-17 803
本文是一份全面的PHP短信集成指南,旨在帮助开发者快速掌握短信服务的接入与优化。文章分为五个部分: 1. **接口选择**:对比了四大主流短信平台(阿里云、腾讯云、容联云、聚合数据),从稳定性、价格、文档质量和特色功能四个维度进行评估,帮助开发者选择合适的平台。 2. **封装姿势**:介绍了如何设计通用的短信发送类,通过面向对象编程(OOP)封装,实现多平台兼容和自动切换通道,提升代码的可维护性和复用性。 3. **坑位预警**:列举了六个常见的短信发送问题,如签名报错、内容审核、号码格式错误等,并
短信机制设计
赵阳的博客
11-24 3105
短信验证码可以验证手机号的有效性,短信验证应用的地方越来越多,写这篇博文的原因是因为最近我司最近弄了个H5活动,有个发送短信验证码的功能由于java组没做机制导致短信。而他们的解决办法令我匪夷所思,因为根本起不到作用。所以想写一篇关于的博文。 短信也算网络攻击的一种,网络攻一直是相爱相杀的存在。没有绝对的御,只有不断增强御,提高攻击者的攻击成本,使其攻击成本高于收益,从而放弃...
程序员放大招教你网站怎么做短信验证码验证码机制-速码云
weixin_34326429的博客
01-05 997
 文章来源:http://www.4006026717.com 在我们开始发送了 短信验证码 的时候在前台中会出现一分钟的倒计时,进行了这个操作了之后,在这段时间之内,如果用户多次提交的话是无法发送请求的。这种的方法是最为经常使用的一种,虽然很简单,但是却非常的好用,但是有个缺点就是,如果稍微懂一点技术的人是可以绕过这个限制,然后继续发送验证码的。 [ 短信平台](http://www.40...
ASP.NET中实现无验证码的开发 - C#
HackQuestR的博客
10-03 162
在ASP.NET中,我们可以通过使用AJAX技术来实现无验证码,提升用户体验。在项目中,我们需要创建一个验证码生成器,用于生成验证码图片和验证用户输入的验证码。同时,在表单中添加一个文本框用于用户输入验证码。当用户提交表单时,我们可以通过比较用户输入的验证码和Session中保存的验证码```html。在项目中,我们需要添加一些必要的引用,以便在后续的开发中使用。当用户提交表单时,我们通过比较用户输入的验证码和Session中保存的验证码来进行验证,如果不一致,则阻止表单提交并提示用户重新输入验证码
如何防止短信验证码
ldm54466183的博客
02-19 3537
使用redis与前端相结合,实现验证码
短信接口解决方案
Java知识图谱的博客
04-12 4597
一、序言 在Web开发中,总有一些接口需要暴露在用户认证前访问,短信发送接口特别是短信验证码注册接口便是其中典型的一类,这类接口具有如下特点: 流量在用户认证之前 流量在用户认证之前,意味着无法获取用户ID等唯一标识符信息对流量限流 手机号未知 手机号未知意味着无法对待发送短信的手机号做精准检测,判断是否是合法的手机号。通过正则表达式判断手机号连号过多,容易滋生短信。 本文将重点聚焦接口的实践。 二、流量 在解决之前先认识流量的特点和的目标。 (一)的目标 1、减
如何有效防止别人恶意验证码
-JackoChan
04-04 1万+
相信很多朋友都有试过被人恶意验证码的经历,当然我也不例外,之前被人恶意搞过一次如果短信服务针对的用户不只是国内用户还涉及国外用户的话,更加要做好安全机制,不然损失会很严重(因为国外的短信费用更加昂贵),所以才会有感写出一些相应的解决方法! (1)要根据自身业务逻辑去限制同个号码每天最多的短信请求次数(简洁点来说就是限定的次数足够你去进行操作,如果超出了很多次,那很明显就是恶意搞事啦); (2
发送短信验证码策略:守护安全的艺术
dotNET跨平台
10-27 742
嘿,各位技术小伙伴们,大家好!今天咱们来聊聊一个既实用又充满挑战的话题——如何防止短信验证码被恶意取。在这个数字化时代,短信验证码已经成为我们日常生活中不可或缺的验证方式,无论是注册账号、登录应用,还是进行支付操作,都离不开它的身影。但随之而来的,就是恶意验证码的威胁。别担心,接下来,咱们就来探讨几种常用的策略,让你的系统更加安全可靠!一、前端控制:简单直接的护首先,咱们得从用户的第一...
spring boot2.0实战中间件redisson与典型的应用场景
02-16
概要介绍: 本课程主要是介绍并实战一款java中间件~redisson,介绍redisson相关的核心技术栈及其典型的应用场景,其中的应用场景就包括布隆过滤器、限流器、短信发送、实时/定时邮件发送、数据字典、分布式服务调度等等,在业界号称是在java项目里正确使用redis的姿势。本课程的目标就在于带领各位小伙伴一起学习、攻克redisson,更好地巩固自己的核心竞争力,而至于跳槽涨薪,自然不在话下!  课程内容: 说起redisson,可能大伙儿不是很熟悉,但如果说起redis,想必肯定很多人都晓得。没错,这家伙字如其名,它就是架设在redis基础上的一款综合性的、新型的中间件,号称是java企业级应用开发中正确使用redis的姿势/客户端实例。 它是架设在redis基础之上,但拥有的功能却远远多于原生Redis 所提供的,比如分布式对象、分布式集合体系、分布式锁以及分布式服务调度等一系列具有分布式特性的对象实例… 而这些东西debug将在本门课程进行淋漓尽致的介绍并实战,除此之外,我们将基于spring boot2.0搭建的多模块项目实战典型的应用场景:对象存储、数据字典、短信发送、实时/定时邮件发送、布隆过滤器、限流组件、分布式服务调度....课程大纲如下所示: 下面罗列一下比较典型的核心技术栈及其实际业务场景的实战,如下图所示为redisson基于订阅-发布模式的核心技术~主题Topic的实际业务场景,即实时发送邮件: 而下图则是基于“多值映射MultiMap”数据结构实战实现的关于“数据字典”的缓存管理: 除此之外,我们还讲解了可以与分布式服务调度中间件dubbo相媲美的功能:分布式远程服务调度,在课程中我们动手搭建了两个项目,用于分别充当“生产者”与“消费者”角色,最终通过redisson的“服务调度组件”实现服务与服务之间、接口与接口之间的调用!  课程收益: (1)认识并掌握redisson为何物、常见的几种典型数据结构-分布式对象、集合、服务的应用及其典型应用场景的实战; (2)掌握如何基于spring boot2.0整合redisson搭建企业级多模块项目,并以此为奠基,实战企业级应用系统中常见的业务场景,巩固相应的技术栈! (3)站在项目管理与技术精进的角度,掌握对于给定的功能模块进行业务流程图的绘制、分析、模块划分、代码实战与性能测试和改进,提高编码能力与其他软实力; (4)对于Java微服务、分布式、springboot精进者而言,学完本课程,不仅可以巩固提高中间件的实战能力,其典型的应用场景更有助于面试、助力相关知识点的扫盲! 如下图所示: 关键字:Spring Boot,Redis,缓存穿透,缓存击穿,缓存雪崩,红包系统,Mybatis,高并发,多线程并发编程,发送邮件,列表List,集合Set,排行榜,有序集合SortedSet,哈希Hash ,进阶实战,面试,微服务、分布式 适用人群:redisson学习者,分布式中间件实战者,微服务学习者,java学习者,spring boot进阶实战者,redis进阶实战者
如何设计短信验证码机制
u011277123的博客
08-24 1万+
做产品经理 2017-08-23 23:31 最近遇到一个关于防止短信验证码的产品设计问题,后来在面试一个前来应聘JAVA开发的程序员的时候,他也提到了他以前公司的系统也遭遇过这个被短信的问题。因此,就“如何设计短信验证码机制”作一个总结和分享。 短信验证码机制 现在,大部分的产品都会涉使用到短信验证码的接口,特别是移动产品,短信验证码几乎成为了所有移动产品
商家平台短信解决方案
m0_61627247的博客
02-23 510
很多商家平台都有对接短信功能来验证用户的真实性,这个本来是一个很正常的业务需要,但是却被一些有心人用程序进行频繁请求发送,造成短信被恶意发送,那么短信就是非常必要的一件事,商家平台在上线前都需要确认,今天我们来发一下短信解决方案。 方案一:获取手机验证码的功能放在外面: 1、系统要检测箭头项目全部填写完全后才能进入获取验证码流程; 2、设置同一ip同一天请求次数不要超过5次; 3、设置相同号码获取手机验证码的时间间隔超过60秒; 4、设置相同手机号码一天内只能提交2次; 5、做图形验
短信的一个小方案
zhaoliu1990的博客
11-22 2388
最近有同事负责的项目短信验证码的的接口被人家爆了,突然想起了以前我手上的项目也被过,现在谈谈处理方法: 1.首先要知道人家从哪个接口进行的短信,这个可以到服务器看请求日志,也可以在短信的过程中写些相应的参数记录下接口来源 2.设置图片验证码,这个是成本最低的做法,太简单也不行,弄个稍微复杂些的背景 3.重复请求验证设置,在每次发送时在数据库记录时间戳,可以设置再几分钟内再次请求的这种直接
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值