首页 > 文章 > php教程

CodeIgniter框架怎么实现短信接口防盗刷_CodeIgniter框架频率限制应用【应用】

时间：2026-05-02 14:11:49 264浏览收藏

哈喽！大家好，很高兴又见面了，我是golang学习网的一名作者，今天由我给大家带来一篇《CodeIgniter框架怎么实现短信接口防盗刷_CodeIgniter框架频率限制应用【应用】》，本文主要会讲到等等知识点，希望大家一起学习进步，也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧！

CodeIgniter 框架本身不内置短信接口防盗刷机制，需手动组合 IP 限流（Throttler）、手机号校验、会话绑定、数据库日志与动态降频；CI4 推荐用 Redis 驱动 session 并配置联合索引优化查询。

直接上结论：CodeIgniter 框架本身不内置短信接口防盗刷机制，必须靠手动加频率限制 + 业务层校验组合实现，否则发信接口极易被爬虫或恶意脚本刷爆额度。

CI4 自带的 Throttler 是最轻量、最可靠的选择，它默认基于 Redis 或 file 缓存，支持毫秒级精度控制。

在 App/Filters/ThrottleSms.php 中定义专用过滤器，不要复用通用 Throttle，避免影响其他接口
限流规则建议设为「每 60 秒最多 3 次」：$throttler->check($request->getIPAddress(), 3, MINUTE)，太松易被绕过，太紧影响正常用户重试
务必在 before() 中返回 429 Too Many Requests，并附带 X-RateLimit-Reset 头告知重试时间，方便前端友好提示
注意：若部署在负载均衡后，$request->getIPAddress() 可能取到的是代理 IP，需配合 $_SERVER['HTTP_X_FORWARDED_FOR'] 或配置 $config['proxy_ips']

单纯限 IP 不够——攻击者可用代理池轮换 IP。必须叠加业务层约束。

发短信前，先检查 session()->has('sms_verified') 或 session()->get('phone_hash')，未通过图形验证码 / 滑块验证的请求一律拒绝
对手机号做格式清洗和标准化：preg_replace('/[^0-9]/', '', $phone)，再判断是否以 1[3-9]\d{9} 匹配（国内），防止伪造国际号段
不要把手机号明文存 session；用 hash_hmac('sha256', $phone, $_SERVER['APP_KEY']) 存哈希值，避免泄露原始号码
若走 API 密钥认证（如 RestServer），确保 $this->methods['send_sms_post']['level'] >= 2，低权限 key 无法调用

仅靠内存限流无法追溯异常行为，必须落库，才能做二次拦截和分析。

每次调用发信接口，往 sms_logs 表插入一条记录，字段至少含：ip、phone、created_at、status（success/fail）
在发信逻辑开头加兜底查询：SELECT COUNT(*) FROM sms_logs WHERE phone = ? AND created_at > DATE_SUB(NOW(), INTERVAL 1 HOUR)，超 5 次就直接 return false
对失败次数过多的手机号（如 1 小时内失败 ≥ 3 次），自动写入 sms_blocked_phones 表，后续请求直接拒掉，缓存期设为 24 小时
注意：sms_logs 表必须给 phone 和 created_at 建联合索引，否则查慢会拖垮整个接口

如果你用的是 CodeIgniter RestServer 扩展，别只开开关就以为万事大吉。

$config['rest_enable_limits'] = true 启用后，默认按 ROUTED_URL 限流，意味着 /api/sms/send 所有请求共用一个计数器——不同手机号也会互相挤占额度
想按手机号限流，得重写 _log_access() 方法，在写入 limits 表前，把 $key 改成 $phone . '_' . $method
$config['rest_limits_method'] = 'IP_ADDRESS' 是最常用配置，但要注意：若用户用公共 WiFi（如校园网），多个真实用户可能共享同一出口 IP，误杀率高
日志表 limits 不会自动清理，上线后必须加定时任务，定期删 7 天前的记录，否则表膨胀极快