PHP验证码怎么限制同一IP请求_PHP IP请求限制【防刷】

验证码接口防刷有五种方案：一、Redis限频，用INCR和EXPIRE控制IP请求次数；二、文件存储轻量限流，序列化记录IP时间戳；三、MySQL持久化记录，支持审计与跨服务器同步；四、Nginx前置限流，用limit_req模块毫秒级拦截；五、Session绑定IP，首次访问即校验IP一致性。

如果您的PHP网站验证码接口被恶意频繁请求，可能导致服务器资源耗尽或验证码失效，这通常是由于同一IP地址在短时间内发起大量请求所致。以下是针对该问题的多种限制方案：

一、基于Redis的IP请求频次限制

利用Redis原子操作记录每个IP在指定时间窗口内的请求次数，具备高性能与高并发支持能力，适合中高流量站点。

1、在验证码生成接口顶部引入Redis连接实例。

2、构造唯一键名，格式为 "captcha:ip:" . $_SERVER['REMOTE_ADDR']。

立即学习“PHP免费学习笔记（深入）”；

3、使用 INCR 命令对键值加1。

4、若返回值为1，则立即执行 EXPIRE 设置过期时间为60秒。

5、判断当前值是否超过预设阈值（如10次），若超过则返回错误响应并终止执行。

二、基于文件存储的轻量级IP限制

适用于无Redis环境的低并发场景，通过序列化数组写入本地文件保存IP与时间戳映射，避免数据库依赖。

1、定义请求限制窗口时长（如300秒）和最大允许次数（如5次）。

2、读取 ip_requests.log 文件内容，反序列化为数组。

3、过滤掉早于当前时间减去窗口时长的记录。

4、统计当前IP在剩余记录中的出现次数。

5、若次数 ≥ 限定值，则输出HTTP状态码429并退出脚本。

6、将当前IP与时间戳追加至数组，并序列化写回文件。

三、基于MySQL数据库的持久化IP控制

适用于需长期审计、跨服务器同步或配合用户系统管理的场景，确保IP行为可追溯且支持复杂查询条件。

标签： mysql php redis node nginx session 后端 curl unix 状态码 sql语句 验证