@lavande 但也不对呀。微信红包是发送到对应的 openid 的，伪造的身份怎么接收红包呀？

@romotc
//时间判断
if($type == 'test'){
$huidiao = time();
$_SESSION['huidiao'] = $huidiao;
showsuc('test',array('code'=>md5($huidiao)));
}

if(in_array($type,array('接口名称'))){
if(md5(md5($_SESSION['huidiao']).$_REQUEST['score']) != $_REQUEST['code']){
showsuc('请求成功');
}else{
$_SESSION['huidiao'] = null;
}
}

@lavande 那这个就是属于伪造身份+非同时攻击咯

@romotc 这个在商户已经设置一个微信号每天只能领取一个，代码里面限制只能领取一个。真心是用几千个微信号刷走红包的。全部绕开了游戏接口，直接调用红包接口。验证码怎么去验证呢？

@zhaoxiting1997 感觉怎么都不好做。前端用的是 JS ，什么都暴露出来了。那天一开始统计有刷掉了几千个红包，只有 120 个 IP ，也是醉了

@fjzjk 瞄了一下赚客吧。感觉就是用爬虫拿到网上的各种活动信息