调试易

不能就算做到如 facebook 招股书中提及的几个国家，或者以色列特工，也只能防六七成左右

curl很容易伪造ip，或者通过代理，伪造ip是没办法避免的，除非你限制访问ip。

恶意？
两个要点：
1.规则管理的是行为，而不是人
2.为啥论坛需要管理员？因为总有技术做不到的事如果某种恶意行为
是匿名发生的，就应该从服务器级层面拦截，而不是代码拦截
是具名（如注册用户）发生的，就限制其具名的能力，或者具名后的权限总的来说，你先要搞清楚这种行为发生的全过程，找到其中最容易限制又不影响其他人的环节，进行规则更改举例恶意短信的过程：
身份-->接入发送系统-->发送×数量级-->发送系统-->广播-->接收用户
所以实名制只是方便反向追查，对阻止走完上述过程毫无作用谁——身份、权限
什么地方——ip
什么时候——时间、时段
什么事——恶意行为
为什么——？
怎么做——流程、环节
你觉得上面哪点方便管理？

你这个情况跟搞投票系统一样，都会碰到这种问题的。不要把精力浪费在研究IP上了。1:采用用户输入手机号码来认证身份，或者使用电子邮箱认证来领取CDkey.另外+ip判断限制+cookies判断限制。目的是让用户造成一种领一个容易，领多个麻烦的要死的感觉。2：改造你的验证码程序，每次领取重新生成验证码，更新session中的验证码参数值。每次领取都判断是否匹配。不要只在用户领取第一次的时候做这件事。

你这个情况跟搞投票系统一样，都会碰到这种问题的。不要把精力浪费在研究IP上了。1:采用用户输入手机号码来认证身份，或者使用电子邮箱认证来领取CDkey.另外+ip判断限制+cookies判断限制。目的是让用户造成一种领一个容易，领多个麻烦的要死的感觉。2：改造你的验证码程序，每次领取重新生成验证码，更新session中的验证码参数值。每次领取都判断是否匹配。不要只在用户领取第一次的时候做这件事。请问你QQ 多少啊

我之前找做软件的人研究的 他们说就输入1次验证码 就能无限领取了 这明显是个bug

你这个情况跟搞投票系统一样，都会碰到这种问题的。不要把精力浪费在研究IP上了。1:采用用户输入手机号码来认证身份，或者使用电子邮箱认证来领取CDkey.另外+ip判断限制+cookies判断限制。目的是让用户造成一种领一个容易，领多个麻烦的要死的感觉。2：改造你的验证码程序，每次领取重新生成验证码，更新session中的验证码参数值。每次领取都判断是否匹配。不要只在用户领取第一次的时候做这件事。我不会改呀 请问你能帮我改下吗 付费啊

不是钱的事，没那么多时间。思路大概是我说的那样，你自己斟酌，楼上有人说那个验证码是个bug,其实，我也觉的是个BUG，你被开发软件的忽悠了吧。

不是钱的事，没那么多时间。思路大概是我说的那样，你自己斟酌，楼上有人说那个验证码是个bug,其实，我也觉的是个BUG，你被开发软件的忽悠了吧。那请问安照你的思路改还有用吗？？？这个系统是不是完蛋了？？？

我用的这个系统有BUG  别人就是通过BUG领取我网站的cdkey 我网 站具体是限制每个IP 之能领取2次 但是 他伪造IP 一直无限制领取我网站上的号 验证码可能也有BUG 他就输入1次验证码就一直领取了

我觉得现在关键问题是：系统流程上存在漏洞，这个不是程序可以简单解决。可以考虑一下增加注册，增加手机认证。 用IP来限制本身就是最大漏洞，因为做网络编程人基本都知道，IP某些时候不能作为唯一的身份认证，只能作为一种辅助认证。

怎么还是空对空呢？有几个人有闲工夫和你做文字游戏？
限制每个IP 之能领取2次 你是如何限制的？
他伪造IP 一直无限制领取我网站上的号 你怎么知道是伪造ip？即便是伪造，也不与你第一个约束条件冲突
验证码可能也有BUG 他就输入1次验证码就一直领取了 你的验证码是如何做的？如何验证的？这不是方案问题，而是具体实现问题