网站被恶意调用发送验证码接口，已经要疯了！！！

加验证码，
手机注册就手机注册呗，有些程序猿真是清高，有些场景就是需要手机验证码这种相对物理的安全验证方式。你破解我手机验证码试试？邮箱撞库安全系数没手机高。

同样好奇短信提供商没有屏蔽你么？

好好奇，为啥没有人提 360 的双向验证。。。

后台加上验证规则，像你之前的规则，超过规则后后台不发送验证码，前台还是提示发送成功，他摸不透你的规则就老实了，前台无论如何都要提示发送成功

1 阶段：验证码
2 阶段：记录放在 Redis 缓存里
3 阶段：缓存用 IP 做 Key
4 阶段：反思一下自己得罪谁了

通常 1 阶段就够了。

难道只有我考虑的是，要浪费我好多钱么。。。

建议:
1.如果有安全厂商的联系渠道,建议通过其获取一份手机号码黑名单过滤文件
（至于他们的数据来源,未知。猜测是通过某些策略判断为机器人操作后添加的）
2.如果需要保持足够高的安全性，且用户普遍质量偏高，建议尝试语音验证码
3.server 添加短信策略
4.安利个传说的新型验证方式.`极验`
弊端：
会误杀部分，但对刷验证码应该有一定缓解。短信商没封你的接口也算是可以了。

图片验证应该就够了，如果做 IP 限制，挺多地方是一片区域共用一个 IP 的，例如广州这边的城中村。
@zxgngl 估计是想要收集数据吧

如果是直接调用 send_msg.php 的加 csrf 可以解决
如果是靠刷注册页面来发短信的可以加图形验证码

总之 send_msg.php 这个需要有个类似 token 的参数来增加调用的代价

加图形验证码，语音验证码，或者干脆让用户给你发短信。。
体验依次下降

超过几次之后 图像验证码啊 这种强度，就算不是刷验证码 普通页面都应该封 ip 了吧

@br00k 楼主的问题并不在于用数据库还是 redis 。以及这点数据量用数据库怎么就作死了？

笑尿

可以试试阿里的滑动验证，就用户体验来说，还是可以的

让用户给你发短信 怎么样

sms 服务应该会有每天上限的, 我做过的一个是每天同一个手机 5 条, 再加上 captcha 和 ip 限制, 就不会有问题的

给 send_msg.php 传输 post 数据。
number=1388888888&token=xxxxxx
使用 token

我们用的 SUBMAIL 是有每日次数限制的。而且他们有个主动防御机制，但是有部分会被误杀 http://submail.cn/