不好意思，小弟又来了
最近在研究自己的专题
本身写网页也有3年了吧
实力普普，这个专题想做深入一点
也是一个网站
-
想请问 我的使用者登入
为增加使用者体验
在密码错误三次后才会要求输入验码进行人机验证
关于 "三次之后"这个步骤该怎么做比较好?
我用session存错误次数
但使用者清除cookie之后就可以绕过...
想在数据库存ip跟user agent的logs
但这两个资料都可以伪造
到头来还是防君子不防小人
请大家指教，谢谢!

可以了，专心达到功能就好没有绝对安全，只有“够安全”。就跟C语言初学者一样，没有“无限大阵列”，只有“够大的阵列”。

很好奇伪造 IP，response 怎么传回去？

不会有永远，只会有目前…不然大家直接用一个写法就好啦

直接在资料表 user 加上 retry 次数和 expire time 呢？反正验证帐密通常都要查 db ，查到 retry 次数三次以上加上还没过期就再跳个验证码输入框，多一个步骤也不过份然后密码正确再把 retry 归零就好了。查 db 是验证帐密的时候查的，所以也没浪费 db 查询的时间。不过我的方法 retry 是绑在帐号上的，如果他一直试不同的帐号的话就不适用了。

这个很实用，设计帐密资料表一起把登入行为考虑进去。

感谢大家的建议！，我在考量效能跟使用性还有安全性再来想想要不要改

图片验证避不掉吗？算个微积分XDDD

呵，微积分吗？突然觉得不想登入了...

我一直很欣赏这种设计 http://i.imgur.com/T2akgu4.jpg不知道有没有什么潜在的问题

呵，会不会色盲会无法登入啊？

这是Joomla的留言板套件里面送的，直接的问题有一个他会有6:2这种题目 不知为何画不出÷也不用/让人看不懂但是自己改写一下应该就可以

有的国家确实是用 : 代表除http://en.wikipedia.org/wiki/Division_(mathematics)In some non-English-speaking cultures, "a divided by b"is written a : b.莱布尼兹似乎也是这个用法的爱用者÷号好像还有一个问题是有的时候它是减的意思http://zh.wikipedia.org/wiki/%E9%99%A4%E5%8F%B7所以应该不是因为画不出来而是可能会有误会的关系

画个 / 不就没事了