PHP如何实现验证码过期机制_PHP验证码过期处理【时效】

验证码必须设置过期机制，可通过Session绑定时间戳、Redis自动过期、数据库时间字段校验或文件mtime四种方式实现，确保5分钟内有效并及时清理。

如果您在PHP中生成验证码但未设置过期时间，可能导致验证码长期有效，带来安全风险。以下是实现验证码过期机制的具体方法：

一、使用Session存储并绑定时间戳

将验证码字符串与生成时间一同存入Session，每次验证前比对当前时间与存储时间的差值，判断是否超时。

1、生成验证码时，同时记录当前时间戳：
$_SESSION['captcha_code'] = $code;
$_SESSION['captcha_time'] = time();

2、验证前检查是否存在且未超时（例如设定5分钟有效期）：
if (!isset($_SESSION['captcha_code']) || !isset($_SESSION['captcha_time']) || (time() - $_SESSION['captcha_time']) > 300) {
  return false;
}

立即学习“PHP免费学习笔记（深入）”；

3、验证成功后立即清除Session：
unset($_SESSION['captcha_code'], $_SESSION['captcha_time']);

二、使用Redis存储并设置自动过期

利用Redis的键过期特性，将验证码作为键值对写入，并指定TTL，避免手动时间比对，降低服务端逻辑复杂度。

1、生成验证码后，写入Redis并设置300秒过期：
$redis->setex('captcha:' . $session_id, 300, $code);

2、验证时直接获取值，若返回false或null则表示已过期或不存在：
$stored_code = $redis->get('captcha:' . $session_id);
if ($stored_code !== $input_code) { return false; }

3、验证通过后删除该键以防止重复使用：
$redis->del('captcha:' . $session_id);

三、数据库记录+时间字段校验

将验证码及其创建时间存入数据库表，验证时通过SQL WHERE条件过滤掉超时记录，确保时效性可审计、可追溯。

1、建表语句需包含code、session_id、created_at字段：
CREATE TABLE captcha_log (
  id INT AUTO_INCREMENT PRIMARY KEY,
  session_id VARCHAR(128),
  code VARCHAR(10),
  created_at DATETIME DEFAULT CURRENT_TIMESTAMP
);

标签： php redis session 键值对 red