CodeIgniter表单提交时Google reCAPTCHA v2验证失败问题排查

阿华AIGC实验室

2026-5-7

解决CodeIgniter中Google reCAPTCHA v2验证失败的问题

你的reCAPTCHA验证框架已经搭好了，但勾选后仍返回“Captcha Error”，我梳理了几个最可能的问题点，以及对应的排查和解决方法：

1. Secret Key 配置或使用错误

你提到已将Secret Key添加到配置文件，但validate_captcha函数里是硬编码的$secret='xxxxxxxxxxxx';，这里要注意：

确认硬编码的Key和配置文件里的完全一致，不要有多余空格、大小写错误（虽然reCAPTCHA Key不区分大小写，但完全匹配更稳妥）
确保使用的是reCAPTCHA v2的Secret Key，v2和v3的Key不通用
建议从配置文件读取Key，避免硬编码出错，比如：
```
$secret = $this->config->item('recaptcha_secret');
```

2. CURL 请求存在问题

你的代码关闭了SSL验证（CURLOPT_SSL_VERIFYPEER, false），这可能导致Google拒绝请求，或服务器无法建立安全连接。还有几个CURL相关问题要排查：

不要关闭SSL验证：改为配置服务器的CA证书路径，若服务器已配置正确的CA根证书，直接删除这一行代码即可
检查CURL请求是否成功：在验证函数里添加调试日志，查看CURL的响应和错误信息（参考下方调试代码）
记得关闭CURL资源：你的代码未调用curl_close($verify);，长期运行可能导致内存泄漏，也会影响请求稳定性

3. 前端未正确提交reCAPTCHA响应值

如果前端的g-recaptcha-response参数没传到后端，验证必然失败：

检查AJAX请求是否包含该参数：在ajaxRegAction函数开头打印var_dump($this->input->post('g-recaptcha-response'));，若输出NULL，说明前端未正确传递
确认reCAPTCHA的JS和div正确渲染：前端页面要正确引入reCAPTCHA的JS脚本，且div的data-sitekey是你的v2 Site Key
若用jQuery的serialize()提交表单，要确保reCAPTCHA生成的隐藏input（name为g-recaptcha-response）被包含在表单内

4. 用户IP地址获取错误

如果服务器在反向代理（如Nginx、Cloudflare）后面，$this->input->ip_address()获取的可能是代理服务器的IP，而非用户真实IP，这会导致Google验证失败：

在CodeIgniter的config.php里配置代理IP：

$config['proxy_ips'] = '192.168.1.0/24, 10.0.0.0/8'; // 替换为你的代理IP段

或从$_SERVER['HTTP_X_FORWARDED_FOR']获取真实IP（注意安全，需过滤伪造的头部）

5. 验证函数的返回值判断问题

表单处理函数里用if($dhamu==1)判断验证结果，但validate_captcha返回的是布尔值TRUE/FALSE。虽然PHP里TRUE == 1成立，但更稳妥的写法是直接判断布尔值：

if($dhamu){
    // 验证通过逻辑
}else{
    echo "Captcha Error";
}

调试建议：添加日志排查问题

修改validate_captcha函数，加入调试日志，方便定位问题：

public function validate_captcha() {
    $recaptcha = trim($this->input->post('g-recaptcha-response'));
    // 记录reCAPTCHA响应值
    error_log('reCAPTCHA Response: ' . $recaptcha);
    
    $userIp= $this->input->ip_address();
    error_log('User IP: ' . $userIp);
    
    $secret = $this->config->item('recaptcha_secret'); // 从配置文件读取Key
    $secretdata = array(
        'secret' => $secret,
        'response' => $recaptcha,
        'remoteip' => $userIp
    );
    
    $verify = curl_init();
    curl_setopt($verify, CURLOPT_URL, "https://www.google.com/recaptcha/api/siteverify");
    curl_setopt($verify, CURLOPT_POST, true);
    curl_setopt($verify, CURLOPT_POSTFIELDS, http_build_query($secretdata));
    // 启用SSL验证（推荐）
    curl_setopt($verify, CURLOPT_SSL_VERIFYPEER, true);
    curl_setopt($verify, CURLOPT_RETURNTRANSFER, true);
    
    $response = curl_exec($verify);
    // 记录CURL响应和错误
    error_log('CURL Response: ' . $response);
    error_log('CURL Error: ' . curl_error($verify));
    
    curl_close($verify); // 关闭CURL资源
    
    $status= json_decode($response, true);
    error_log('reCAPTCHA Status: ' . print_r($status, true));
    
    return !empty($status['success']);
}

之后查看服务器的错误日志（如Apache的error.log或Nginx的error.log），就能看到每个步骤的详细信息，快速定位问题所在。

内容的提问来源于stack exchange，提问作者user13570702