Como funciona na teoria?

O funcionamento de um CAPTCHA de letras tortas é bem simples. O servidor gera uma string que será transformada em uma imagem. A string é salva em algum lugar (normalmente em uma variável de sessão). A imagem é apresentada dentro de um formulário. Ao submeter o formulário, o script checa se o que o usuário digitou bate com o conteúdo da variável de sessão. Se bater, o usuário passou no teste.
Na teoria, tudo muito simples.

Mas e na prática?

Na prática, tudo também pode ser igualmente simples. Ao invés de reinventar a roda, podemos utilizar uma classe chamada Securimage, que serve justamente para gerar CAPTCHAs.

Securimage

Securimage é uma classe em PHP que utiliza a biblioteca gráfica GD para gerar imagens com CAPTCHAs. A classe é bastante versátil, e suporta várias opções, como fontes TTF, imagens de fundo, linhas, arcos e bem mais.
O primeiro passo é baixar o pacote com a versão mais recente e descompactá-lo em algum lugar. A partir deste ponto, vou assumir que o pacote foi descompactado em uma pasta chamada “securimage” no diretório raiz do site.

Criando o form com a imagem

Dentro do formulário que se deseja proteger, colocamos uma tag img, que irá conter a imagem gerada pelo Securimage:

<img id="captcha" src="/securimage/securimage_show.php" alt="CAPTCHA" />

Este script securimage_show.php é bem pequeno (3 linhas), e irá criar um CAPTCHA com as opções padrões da classe. Veremos mais adiante algumas formas de se customizar a imagem.
Além da imagem, também precisamos de um campo para o usuário digitar as letras contidas na imagem:

<input type="text" name="captcha_txt" />

E com isso o formulário está pronto.

A checagem no backend

O usuário viu a imagem, digitou os dados e submeteu o formulário. Agora é hora de checar se o código digitado bate com o texto contido na imagem.
Logo no início do script que recebe os dados do formulário (em caso de dúvida, veja o atributo action da tag form), é preciso inicializar as variáveis de sessão:

<?php session_start(); ?>

É importante que este código venha antes de qualquer saída, ou teremos um erro do tipo “Cannot modify header information – headers already sent….”. Na dúvida, coloque logo no início.
O restante da checagem é bastante simples. Basta instanciarmos um objeto da classe Securimage e chamar um método que faz a checagem:

<?php
require_once $_SERVER['DOCUMENT_ROOT'] . '/securimage/securimage.php';
$securimage = new Securimage();
 
if ($securimage->check($_POST['captcha_txt'])) {
    // Código digitado corretamente
    die("Ok, o código foi digitado corretamente.");
}
else {
    // Código digitado não bate com a imagem
    die("Erro: código incorreto.");
}
?>

O exemplo acima apenas ilustra como é feita a checagem. As chamadas a die() devem ser substituídas de acordo com a lógica da página onde o CAPTCHA está sendo inserido. No caso do código estar correto, deve-se prosseguir com o processamento do formulário, e caso não esteja, possivelmente exibir novamente o formulário com uma mensagem de erro. Será gerado um novo CAPTCHA automaticamente.

Outras opções

Como dito anteriormente, a classe é bastante versátil, e suporta diversas opções para a geração das imagens. Todas as opções estão descritas na documentação da classe, mas vou transcrever várias das opções aqui.
Para se customizar a imagem, basta editar diretamente o script securimage_show.php, que é o script usado na tag img. Originalmente, ele é apenas o seguinte:

<?php
include 'securimage.php';
$img = new securimage();
 
$img->show();
?>

Podemos passar opções para a classe antes de chamar o método show(). Apenas para ilustrar, aqui vai um exemplo bem customizado:

<?php
include 'securimage.php';
$img = new securimage();
$img->code_length = 8; // 8 ao invés de apenas 4 caracteres
$img->charset = "AEIOU"; // Apenas vogais
$img->image_width = 280; // Padrão é 175px para 4 caracteres
$img->multi_text_color = "#ff0000,#0000ff"; // Letras azuis e vermelhas
$img->image_bg_color = "#ffff00"; // Fundo amarelo
$img->show();
?>

E abaixo, 3 exemplos de CAPTCHAs gerados por este script:

Como já dito, a classe suporta muitas outras opções, o melhor mesmo é ler a documentação caso se deseje customizar mais.

Artigos relacionados

• Evitando SQL injection em PHP
• Os 10 piores CAPTCHAs do mundo
• Segurança no envio de emails em PHP
• Agendando eventos no WordPress
• Removendo o “generator” do Wordpress
• Escrevendo plugins para o Wordpress
• Pegadinhas no PHP
• Otimização em PHP, parte 1: Minify
• Precedência no PHP
• Evitando spam em formulários
• Imprimindo em formulários contínuos em PHP
• XML no PHP com XML_Serializer, parte 2 de 2
• XML no PHP com XML_Serializer, parte 1 de 2
• Envio de emails em PHP
• Validação de dados em PHP

A idéia de um CAPTCHA é mostrar graficamente um problema onde a solução é muito simples para um ser humano, mas muito difícil para um computador resolver. Normalmente, letras tortas servem bem para isso, pois é difícil para um programa conseguir diferenciar as letras.

Porém, existem casos em que os CAPTCHAs podem ser extremamente difíceis de se resolver, mesmo para seres humanos. Apenas pra descontrair um pouco, extraí os exemplos abaixo do blog do John Willis, e decidi compartilhar por achar interessantes. Escreverei em breve um artigo sobre a criação de CAPTCHAs, mas por enquanto, fiquemos apenas com os piores deles. Seguindo a mesma ordem do blog original, aqui vão eles, do melhor para o pior:

#10 – Fundo de plasma

Ok, este nem está tão ruim assim. Dá pra se ler claramente o que está escrito:

#9 – Letras parecidas

Alguem consegue olhar e me dizer de cara o que está escrito nessa imagem? Seria “muaummwwv”?

#8 – Substituição

A idéia desse é até interessante, mas convenhamos, não é nada prático. Um humano normalmente tolera perder uns 2 segundos no máximo com um CAPTCHA. Quanto tempo você perdeu pra chegar na resposta desse?

#7 – Impossível?

Este, sem a cola que tem logo embaixo, imagino que seja impossível. A imagem tá tão poluída que pelo menos eu não consegui distinguir nada ali.

#6 – Problema matemático

Ok, já vi alguns CAPTCHAs que pedem pra fazer contas simples de adição e subtração. Agora, um que pede pra resolver uma derivada ou encontrar raízes de polinômios de grau 5? Acreditem, é real! Verifiquem vocês mesmos. Caso não apareça a derivada de primeira, só dar reload até aparecer. Não demora muito.

O mais interessante é que esses problemas, embora assustem, são matematicamente muito simples de serem resolvidos. Esta derivada, fazendo x=0 acaba se tornando a derivada de uma constante, e todos nós coitados que já sofremos com estudamos cálculo I sabemos que a derivada de qualquer constante vale 0. Todas as derivadas que eu vi nesse site caem nessa categoria.

#5 – Psicodélico

Esse eu também não consegui distinguir nada. Qual será a resposta correta?

#4 – Texto na cor do fundo

Ok a imagem ter um fundo colorido com padrões pra dificultar a leitura automatizada da imagem, mas usar uma cor no texto quase igual a cor de fundo dificulta um pouco, não?

#3 – Que alfabeto é esse?

É uma sequencia grande de caracteres, só não sei de que língua ou alfabeto. Me parece que alguem na hora de bolar o CAPTCHA escolheu a fonte errada e acabaram saindo essas coisas estranhas:

#2 – Pontilhismo

Esse CAPTCHA deve ter sido feito por algum apreciador do impressionismo ou do pontilhismo. Alguém adivinha o que está escrito?

#1 – Not Found?

E quando a imagem não carrega? Como fazer pra resolver o CAPTCHA? Acho que de todos, este é o mais impossível de se resolver!

Alguém já esbarrou por aí em algum outro CAPTCHA que mereça entrar em uma galeria como esta?

Artigos relacionados

• Criando CAPTCHAs em PHP
• Evitando SQL injection em PHP
• Evitando spam em formulários
• Segurança no envio de emails em PHP