PHP 8.4 中 GD 扩展默认不启用,需手动安装并启用;使用 imagecreate() 和 imagestring() 可生成基础验证码,但推荐用 imagettftext() 加载自定义字体并添加噪点以提升安全性,同时须校验字体路径、控制噪点数量、限制旋转角度,并用 hash_equals() 防时序攻击且及时销毁 session 中的验证码。
PHP 8.4 中 GD 扩展是否默认启用
PHP 8.4
并未移除 GD 扩展,但安装时不再默认编译进核心 —— 你必须显式启用 gd(通过 --with-gd 或包管理器安装对应扩展)。若运行 php -m | grep gd 无输出,或 extension_loaded('gd') 返回 false,说明 GD 未就绪,后续所有验证码生成都会失败。
常见环境处理方式:
- Ubuntu/Debian:
sudo apt install php-gd,然后重启 Web 服务(如sudo systemctl restart apache2或sudo systemctl restart php8.4-fpm) -
macOS + Homebrew + PHP 8.4:
brew install php@8.4-gd,确认extension=gd.so已写入php.ini - Docker:在
Dockerfile中添加RUN docker-php-ext-install gd
用 imagecreate() 和 imagestring() 生成基础验证码图
PHP 8.4 的 GD 函数签名与 8.3 一致,但部分旧参数(如 imagecolorallocatealpha() 的 alpha 范围)更严格 —— alpha 值必须是 0–127,超出会静默失败或报 Warning: imagecolorallocatealpha(): Alpha value must be between 0 and 127。
以下是最小可运行示例(不含干扰线/噪点,仅验证流程):
session_start();
header('Content-Type: image/png');
// 生成 4 位随机字符串
$code = substr(str_shuffle('ABCDEFGHKLMNPQRSTUVWXYZ23456789'), 0, 4);
$_SESSION['captcha_code'] = $code;
$width = 120;
$height = 40;
$img = imagecreate($width, $height);
// 背景色(浅灰)
$bg = imagecolorallocate($img, 240, 240, 240);
// 字体色(深蓝)
$text = imagecolorallocate($img, 30, 80, 150);
// 填充背景
imagefilledrectangle($img, 0, 0, $width, $height, $bg);
// 写入文字(使用内置字体,字号为 5)
imagestring($img, 5, 20, 12, $code, $text);
imagepng($img);
imagedestroy($img);
注意:imagestring() 的字体参数 5 是内置字体编号,PHP 8.4 仍支持 1–5,但不推荐用于生产 —— 字形固定、无法抗锯齿、易被 OCR 识别。
用 imagettftext() 加载自定义字体并加噪点
要提升安全性,必须用 imagettftext() 替代 imagestring(),且需确保字体文件路径真实存在、PHP 进程有读取权限。PHP 8.4 对字体路径校验更严:若 .ttf 文件损坏或路径含中文未正确解码,imagettftext() 会返回 false 且不报错,图像变为空白。
关键实操点:
- 字体路径建议用
__DIR__ . '/fonts/arial.ttf',避免相对路径歧义 - 调用前加
if (!file_exists($font)) { die('Font not found'); } - 噪点建议用
imagesetpixel()随机打点,数量控制在 50–200 个,过多影响可读性 - 字符旋转角度建议 ±10° 内,用
imagettftext()的 angle 参数,别用imagerotate()整图旋转(会留黑边、性能差)
片段示意(接上例,替换 imagestring() 部分):
$font = __DIR__ . '/fonts/arial.ttf';
if (!file_exists($font)) {
die('Font file missing');
}
for ($i = 0; $i < 4; $i++) {
$angle = rand(-8, 8);
$x = 20 + $i * 25;
$y = 25 + rand(-5, 5);
imagettftext($img, 16, $angle, $x, $y, $text, $font, $code[$i]);
}
// 添加噪点
for ($i = 0; $i < 100; $i++) {
$px = rand(0, $width);
$py = rand(0, $height);
$noise = imagecolorallocate($img, rand(180, 220), rand(180, 220), rand(180, 220));
imagesetpixel($img, $px, $py, $noise);
}
验证码校验时的 session 兼容性陷阱
PHP 8.4 默认启用 session.use_strict_mode=1,这意味着:如果用户请求中没带合法 PHPSESSID cookie,$_SESSION 将为空,且不会自动创建新 session —— 导致验证码始终校验失败。
校验端代码必须检查 session 状态:
session_start();
if (empty($_SESSION['captcha_code'])) {
http_response_code(400);
echo json_encode(['success' => false, 'msg' => '验证码已失效,请刷新']);
exit;
}
$user_input = $_POST['captcha'] ?? '';
if (hash_equals($_SESSION['captcha_code'], $user_input)) {
// 通过
unset($_SESSION['captcha_code']); // 一次性使用
} else {
// 失败
}容易被忽略的是:hash_equals() 必须用于防时序攻击,且 $_SESSION['captcha_code'] 必须在生成后立即设置、校验后立即销毁 —— PHP 8.4 的 session GC 更激进,残留 session 数据可能被快速清理,不能依赖“过期自动消失”。
