安全角度来说，各大网站已经给了比较完美的解决方案了，不管是什么错误只返回用户名和密码错误，所以你只需要先判断用户名是否存在就好，5次尝试过后强制输入验证码，10次或者15次过后直接锁定，但还是返回用户名和密码错误，至于前排说的方法都太重了，大厂都懒得用，更别说你个小网站了。

。