Zebezpieczenie antyspamowe Opcje

Jak to zrobic zeby skrypt liczyl linki zawarte w formularzu i jezeli jest ich np. wiecej niz 3 nie dodawal komentarza do bazy Chcialbym podczepic ten skrypt do tego:

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
   die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy 
 
   $link = @mysql_connect($db_host,$db_user,$db_pass);
 
   @mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
   $autor_komentarz = $HTTP_POST_VARS['autor_komentarz'];
 
   $lr_komentarz = $HTTP_POST_VARS['lr_komentarz'];
 
   if($autor_komentarz == "")
 
	  $autor_komentarz = "Anonim";
 
   if($lr_komentarz != ""){
 
	  $lr_komentarz = ereg_replace("n","<br>",$lr_komentarz);
 
	  $autor_komentarz = $autor_komentarz;
 
	  $query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
	  $result = mysql_query ($query);
 
   }
 
}
 
?>
 
<div align="center"><strong><h3>Komentarze</h3></strong></div>
 
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
   $result = @mysql_query ($query);
 
   while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
   <td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
   <td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
   <td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
   <td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
   <td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
   <td width="100%"><strong>Autor</strong></td>
 
   <td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
   <td><strong>Komentarz</strong></td>
 
   <td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
   <td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext 

[hiomp]

mnie tez to ciekawi w jaki sposob mozna to zrobic

[Zeman]

Jak to zrobic zeby skrypt liczyl linki zawarte w formularzu i jezeli jest ich np. wiecej niz 3 nie dodawal komentarza do bazy Chcialbym podczepic ten skrypt do tego:

[PHP] pobierz, plaintext 
<?
...
$nid = $HTTP_GET_VARS['id'];
...
$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
	  $result = mysql_query ($query);
...
?>
[PHP] pobierz, plaintext 

Średni pomysł żeby to co przychodzi z $_GET wstawiać odrazu bez sprawdzania w zapytanie do bazy (bezpieczeństwo).

zliczyć linki.... osobiście użyłbym wyrażem regularnych, tj preg_match_all(...)
a jeśli formularz będzie wysyłany masę razy to być może pokusiłbym się o coś szybszego, np strpos(...)

Ale ja nie jestem zbyt biegly w php. Moglbys mi pokazac jak mam to zastosowac

[franki01]

Chcialbym tylko powiedziec ze wlasnie przy takich problemach samemu mozna najlepiej uczyc sie PHP. Metoda prob i bledow + manual na php.net ;]

wiem ja caly czas proboje tylko mi nie wychodzi dlatego napisalem na forum

[franki01]

To bm zrobil tak:

[PHP] pobierz, plaintext 
<?php
 
// ......
 
preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $_POST['lr_komentarz'], $data);
 
$ilosc = count($data[1]);
?>
[PHP] pobierz, plaintext 

Jak sie nie pomylilem to w $ilosc powinna byc ilosc linkow w komentarzu.

i w ktorym miejscu to dac

[franki01]

Zamiast (skasuj to):

[PHP] pobierz, plaintext 
<?php
if($lr_komentarz != ""){
?>
[PHP] pobierz, plaintext 

wstaw:

[PHP] pobierz, plaintext 
<?php
 
preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $_POST['lr_komentarz'], $data);
 
$ilosc = count($data[1]);
 
   if($lr_komentarz != "" && $ilosc <= 3){
 
?>
[PHP] pobierz, plaintext 

Chociaz nie zapewniam ze na 100% to bedzie dzialalo.

Zrobilem tak i niedziala

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
	die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy 
 
	$link = @mysql_connect($db_host,$db_user,$db_pass);
 
	@mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
	$autor_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['autor_komentarz']));
 
	$lr_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['lr_komentarz']));
 
	if($autor_komentarz == "")
 
		$autor_komentarz = "Anonim";
 
	preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $HTTP_POST_VARS['lr_komentarz'], $data);
 
  $ilosc = count($data[1]);
 
   if($lr_komentarz != "" && $ilosc <=3){
 
 
		$lr_komentarz = ereg_replace("n","<br>",$lr_komentarz);
 
		$autor_komentarz = $autor_komentarz;
 
		$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
		$result = mysql_query ($query);
 
	}
 
}
 
?>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-2">
<div align="center"><strong><h3>Komentarze</h3></strong></div>
<div align="center"><h5>Bardzo uprzejmie prosimy o zostawianie komentarza kulturalnego i nieobrażajac
ego nikogo. W przeciwnym wypadku zostanie on usunięty</h5></div>
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
	$result = @mysql_query ($query);
 
	while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
	<td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
	<td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
	<td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
	<td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
	<td width="100%"><strong>Autor</strong></td>
 
	<td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
	<td><strong>Komentarz</strong></td>
 
	<td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext 

[franki01]

A mozesz napiac dokladniej co jest zle. Czy dodaje do bazy czy co...

no dodaje do bazy

[franki01]

To ponizej u mnie dziala na 100% dobrze. Drobne zmiany zrobilem i dziala.

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
	die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy
 
	$link = @mysql_connect($db_host,$db_user,$db_pass);
 
	@mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
	$autor_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['autor_komentarz']));
 
	$lr_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['lr_komentarz']));
 
	if($autor_komentarz == "")
 
		$autor_komentarz = "Anonim";
 
	preg_match_all("(((http://www.)|(www.)|(http://)|(https://www.)|(https://)|(ftp://))([0-9a-zA-Z-/.%]{5,}))si", $HTTP_POST_VARS['lr_komentarz'], $data);
 
  $ilosc = count($data[1]);
  echo $ilosc;
   if($lr_komentarz != "" && $ilosc <= 3){
 
		$lr_komentarz = ereg_replace(" ","<br>",$lr_komentarz);
 
		$autor_komentarz = $autor_komentarz;
 
		$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
		$result = mysql_query ($query);
 
	}
 
}
 
?>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-2">
<div align="center"><strong><h3>Komentarze</h3></strong></div>
<div align="center"><h5>Bardzo uprzejmie prosimy o zostawianie komentarza kulturalnego i nieobrażajac
ego nikogo. W przeciwnym wypadku zostanie on usunięty</h5></div>
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
	$result = @mysql_query ($query);
 
	while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
	<td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
	<td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
	<td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
	<td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
	<td width="100%"><strong>Autor</strong></td>
 
	<td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
	<td><strong>Komentarz</strong></td>
 
	<td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext 

[Amadi]

Witam wszystkich

Mam podobny problem ze spamem w komentarzach. Na razie spróbowałem dodać obrazki z tekstem w najprostrzy możliwy sposób, ale bydlaki jakoś to obeszły. Mógłby mi ktoś pomóc / podpowiedzieć jak to trochę udoskonalić ? Zastanawiam sie nad filtrowaniem słów kluczowych typu "viagra" ale to nigdy nie będzie doskonałe...

Tu przykład zaśmieconego komentarza:
http://www.likh.fc.pl/Aradesh/DT/index.php?id=ww4

Obecny kod skryptu obsługującego komentarze (wiem że nie jest zbyt wyszukany ale napisałem go w jeden wieczór, a i orłem w php za bardzo nie jestem ):

<?
$katalog = "pliki/komentarze/";
$id = $_REQUEST["id"];

$pole1 = trim($_POST["pole1"]);
$pole2 = trim($_POST["pole2"]);
$pole3 = trim($_POST["pole3"]);
$kod_trans = $_POST["kod_trans"];

$literki[0]="dupa";
$literki[1]="h17kjp";
$literki[2]="f283am";
$literki[3]="ds2w8k";
$literki[4]="h9ax24";
$literki[5]="6wp42z";
$literki[6]="43cn1j";
$literki[7]="i56vwb";
$literki[8]="c3e29d";
$literki[9]="u7wk38";
$literki[10]="5xsw2h";

$kod=rand(1,10);


if ($pole1<>"" and $pole2<>"" and strcmp($literki[$kod_trans],$pole3)==0 )
{
$pole1 = stripslashes($pole1);
$pole2 = stripslashes($pole2);
$pole2=eregi_replace("\r","",$pole2);
$pole2=eregi_replace("\n","<br />",$pole2);
$data = sprintf("%04d-%02d-%02d %02d:%02d:%02d",
date("Y"), date("m"), date("d"), date("H"), date("i"), date("s"));
$f=fopen("$katalog$id.txt","a");
fputs($f,"$data`$pole1`$pole2\n");
fclose($f);
}

if (file_exists("$katalog$id.txt"))
{
$dane = file("$katalog$id.txt");
$dane = array_reverse($dane);
foreach ($dane as $linia)
{
$l = explode("`", $linia);
echo "<p>Dnia <b>$l[0]</b> użytkownik <b>$l[1]</b>
napisał:<br />$l[2]</p>";
}
}
else echo "Twój komentarz może być pierwszy...";
?>

<form action="index.php" method="post">
<input type="hidden" name="id" value="<? echo $id; ?>" />
<input type="hidden" name="kod_trans"
value="<? echo $kod; ?>" />
<br><br>
<table>

<tr><td>Nick:</td>
<td><input type="text" name="pole1" /></td></tr>

<tr><td valign="middle"><br>Kod z obrazka:<br></td>
<td valign="middle"><br><input type="text" name="pole3" /> <? echo "<img src=\"pliki/$kod.jpg\">";?><br><br></td></tr>

<tr><td>Komentarz:</td>
<td><textarea name="pole2" rows="15" cols="60"></textarea></td></tr>

<tr><td> </td><td><input type="submit" value=" Dopisz! " /></td></tr>
</table>
</form>

[Kicok]

<input type="hidden" name="kod_trans"
value="<? echo $kod; ?>" />

Choćby nie wiem jak skomplikowany był ten obrazek to dla botów odczytanie tekstu będzie banalne. Tak samo podawanie jawnie numeru obrazka jest dla botów ogromnym ułatwieniem. Jeśli nie chcesz bawić w dynamiczne generowanie obrazków to:

1. Poczytaj o sesjach. Podczas wyświetlania formularza zapisuj do $_SESSION losowy numer kodu z tablicy $literki.
2. Stwórz sobie dodatkowy plik php, np. captcha.php, który odczyta z tablicy $_SESSION numer kodu i na tej podstawie wyśle do przeglądarki odpowiedni obrazek:

[PHP] pobierz, plaintext 
<?php
 
  session_start();
 
  $literki[0] = "dupa";
  $literki[1] = "h17kjp";
  $literki[2] = "f283am";
  $literki[3] = "ds2w8k";
  $literki[4] = "h9ax24";
  $literki[5] = "6wp42z";
  $literki[6] = "43cn1j";
  $literki[7] = "i56vwb";
  $literki[8] = "c3e29d";
  $literki[9] = "u7wk38";
  $literki[10] = "5xsw2h";
 
 
 
  if( !isset( $literki[$_SESSION['losowy_kod']] ) || !file_exists( 'pliki/' . $_SESSION['losowy_kod'] ) ) {
	header( 'HTTP/1.1 404 Not Found' );
	exit();
  }
 
  header( 'Cache-Control: no-cache, must-revalidate' ); 
  header( 'Expires: Mon, 26 Jul 1997 05:00:00 GMT' );
  header( 'Content-type: image/jpeg' );
 
  readfile( 'pliki/' . $_SESSION['losowy_kod'] . '.jpeg' );
 
?>
[PHP] pobierz, plaintext 

Dzięki temu do formularza będziesz mógł wstawić obrazek z nic nie znaczącym źródłem:

[HTML] pobierz, plaintext 
<img src="captcha.php" />
[HTML] pobierz, plaintext 

3. Po wysłaniu formularza sprawdzasz czy kody się zgadzają. Jeśli tak to dodajesz komentarz.

Ten post edytował Kicok 12.05.2007, 13:27:43

[Amadi]

Niegłupie, ale widzę że będę się musiał w wolnej chwili trochę douczyć żeby to wdrożyć w pełni świadomie

A póki co dorzuciłem zabezpieczenie proste do bólu wycinające komentarze zawierające słowa kluczowe typu "viagra", "cialis" itd. I o dziwo działa A przy tym użytkownicy się nie buntują bo są to słowa raczej przez nich nie używane Mam z tą stroną o tyle dobrą sytuację że jest stricte polska, a boty raczej są anglojęzyczne, więc łatwiej powybierać słowa kluczowe blokujące możliwość komentowania.