PHP验证码有效期设置方法

本文深入探讨了PHP中验证码过期机制的必要性与四种实用实现方案——基于Session绑定时间戳、Redis自动过期、数据库时间字段校验以及文件系统mtime检查，每种方法均围绕“5分钟有效期”这一安全基准展开，兼顾安全性、简洁性与部署灵活性；无论您是初学者还是资深开发者，都能从中快速掌握如何杜绝验证码长期有效带来的安全隐患，并根据项目环境（如是否具备Redis或数据库）选择最适合的落地方式。

如果您在PHP中生成验证码但未设置过期时间，可能导致验证码长期有效，带来安全风险。以下是实现验证码过期机制的具体方法：

一、使用Session存储并绑定时间戳

将验证码字符串与生成时间一同存入Session，每次验证前比对当前时间与存储时间的差值，判断是否超时。

1、生成验证码时，同时记录当前时间戳：
$_SESSION['captcha_code'] = $code;
$_SESSION['captcha_time'] = time();

2、验证前检查是否存在且未超时（例如设定5分钟有效期）：
if (!isset($_SESSION['captcha_code']) || !isset($_SESSION['captcha_time']) || (time() - $_SESSION['captcha_time']) > 300) {
  return false;
}

3、验证成功后立即清除Session：
unset($_SESSION['captcha_code'], $_SESSION['captcha_time']);

二、使用Redis存储并设置自动过期

利用Redis的键过期特性，将验证码作为键值对写入，并指定TTL，避免手动时间比对，降低服务端逻辑复杂度。

1、生成验证码后，写入Redis并设置300秒过期：
$redis->setex('captcha:' . $session_id, 300, $code);

2、验证时直接获取值，若返回false或null则表示已过期或不存在：
$stored_code = $redis->get('captcha:' . $session_id);
if ($stored_code !== $input_code) { return false; }

3、验证通过后删除该键以防止重复使用：
$redis->del('captcha:' . $session_id);

三、数据库记录+时间字段校验

将验证码及其创建时间存入数据库表，验证时通过SQL WHERE条件过滤掉超时记录，确保时效性可审计、可追溯。

1、建表语句需包含code、session_id、created_at字段：
CREATE TABLE captcha_log (
  id INT AUTO_INCREMENT PRIMARY KEY,
  session_id VARCHAR(128),
  code VARCHAR(10),
  created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);

2、插入新验证码时使用NOW()：
INSERT INTO captcha_log (session_id, code, created_at) VALUES (?, ?, NOW());

3、验证时限定5分钟内有效：
SELECT code FROM captcha_log WHERE session_id = ? AND code = ? AND created_at >= DATE_SUB(NOW(), INTERVAL 5 MINUTE);

4、验证成功后立即删除对应记录：
DELETE FROM captcha_log WHERE session_id = ? AND code = ?;

四、基于文件系统临时存储并检查mtime

将验证码内容写入以session_id命名的临时文件，并利用文件修改时间（mtime）判断是否过期，适用于无Redis/数据库的轻量部署环境。

1、生成验证码后写入文件并记录时间：
$file = '/tmp/captcha_' . session_id();
file_put_contents($file, $code);

2、验证前检查文件是否存在且未超时：
if (file_exists($file) && (time() - filemtime($file))   $stored = file_get_contents($file);
}

3、验证通过后删除文件：
unlink($file);

五、使用PHP内置APCu缓存并设置TTL

借助APCu的apcu_store函数自带的过期参数，在内存中高速缓存验证码，避免I/O开销，适合高并发短时效场景。

1、存储验证码时指定300秒过期：
apcu_store('captcha_' . session_id(), $code, 300);

2、读取时无需手动判断时间，apcu_fetch自动返回false若已过期：
$stored = apcu_fetch('captcha_' . session_id());
if ($stored !== $input_code) { return false; }

3、验证成功后显式清除：
apcu_delete('captcha_' . session_id());

以上就是《PHP验证码有效期设置方法》的详细内容，更多关于的资料请关注golang学习网公众号！