为什么用session取出的老是上一张的验证码

session，只要你不关闭浏览器，他的值是不会改变的，除非你对他进行从新设置。这个原理楼主应该知道。我在废话一下呵呵。
验证码应该是登录页面有的，而验证码的生成应该是在用户访问登录页面，输入登陆页面地址敲回车时触发一个servlet或者actionservlet生成并以图片的形式返回的，楼主应检查在生成验证码的同时是否已经将验证码立即保存到session中，而不是用户登录后在将验证码保存到session中。

说的简单点，楼主可以在登陆页面做一个iframe，其src指向一个servlet或者actionservlet返回一个验证码图片，而那个servlet生成图片的同时还应该立即将验证码保存到session中。
如果楼主还有问题，请将代码片段发出。

把代码贴出来

session.flush();就可以了