验证码是大家将常用的，用来防刷子的，但现在真是道高一尺，魔高一丈啊。偏偏就有人绕过验证码。我们公司的项目的注册，老是有刷子刷注册用户，甚是苦恼。今天和另外一个同事讨论了半天，终于算是把这个漏洞给解决了 下面是分析流程： 首先说下，我们平常的验证流程。 我们先来分析下，有验证码发布的流程 1，显示表单 2，显示验证码（条用生成验证码的程序）， 将验证码加密后放进 session 或者 cookie 3，用户提交表单 4，核对验证码无误，数据合法后 写入数据库完成 用户如果再发布一条，正常情况下，会再次访问表单页面，验证码图片被动 更新， session 和 cookie 也就跟着变了 但是灌水机操作 不一定非要使用表单页面，它可以直接 模拟POST 向服务端程序 发送数据；这样验证码程序没有被调用，当然session和cookie存储的加密验证码就是上次的值，也就没有更新，这样以后无限次的通过POST直接 发送的数据 ，而不考虑验证码，验证码形同虚设！ 解决方法： 只要在后台验证过验证码以后，把验证码的session值给改掉，这样我们请求后台的时候，每次的验证码session都不一样，就能避免这个漏洞