详情

PHP后端验证防止短信接口被恶意请求

发布时间：2024.04.29

在PHP后端验证防止短信接口被恶意请求时，可以采用以下几种策略：

限制时间间隔：设置一个合理的时间间隔内不允许重复发送短信。

限制次数：设置一个时间段内允许发送的最大次数，超过则拒绝服务。

验证码：发送短信前要求用户输入验证码。

IP限制：限制来自同一IP的请求频率。

登录验证：要求用户登录后才能发送短信。

以下是一个简单的示例代码，使用了限制时间间隔和IP限制的策略：

<?php

// 短信接口

function sendSms($phone, $message) {

    // 实现发送短信的逻辑

    // ...

}

 

// 记录上次发送短信的时间

$smsLimit = array();

 

function canSendSms($phone) {

    global $smsLimit;

 

    // 允许的时间间隔（秒）

    $interval = 120;

 

    // 当前时间戳

    $now = time();

 

    // 检查是否有发送记录，并且是否超过了时间间隔

    if (isset($smsLimit[$phone]) && $now - $smsLimit[$phone] < $interval) {

        return false; // 不允许发送

    }

 

    // 更新发送记录

    $smsLimit[$phone] = $now;

    return true; // 允许发送

}

 

// 获取用户提交的手机号

$phone = $_POST['phone'];

 

// 获取用户的IP地址

$ip = $_SERVER['REMOTE_ADDR'];

 

// 检查是否允许发送短信

if (canSendSms($phone) && checkIpLimit($ip)) {

    // 发送短信

    sendSms($phone, "验证码是1234。");

    echo "短信发送成功";

} else {

    echo "短信发送失败，请稍后再试";

}

 

// 检查IP发送频率的函数

function checkIpLimit($ip) {

    // 可以使用Redis、Memcached或文件来记录IP发送次数

    // 示例使用文件记录

    $ipLimit = file_get_contents('ip_limit.txt');

    $ipLimit = json_decode($ipLimit, true);

 

    if (!isset($ipLimit[$ip])) {

        $ipLimit[$ip] = array();

    }

 

    // 允许的最大请求数

    $maxRequests = 10;

 

    // 当前请求数

    $currentRequests = count($ipLimit[$ip]);

 

    // 如果请求数超过限制，拒绝服务

    if ($currentRequests >= $maxRequests) {

        return false;

    }

 

    // 添加请求记录

    $ipLimit[$ip][] = time();

 

    // 过滤掉超过时间间隔的旧请求

    foreach ($ipLimit[$ip] as $key => $requestTime) {

        if ($requestTime < (time() - $maxRequests)) {

            unset($ipLimit[$ip][$key]);

        }

    }

 

    // 更新IP请求记录

    file_put_contents('ip_limit.txt', json_encode($ipLimit));

 

    return true; // 允许发送

}

?>

这个示例中，sendSms函数用于实现发送短信的逻辑，canSendSms函数用于限制短信发送的时间间隔，checkIpLimit函数用于限制IP的请求频率。这两种限制策略结合起来，可以有效地防止恶意请求