Forum PHP.pl > Zebezpieczenie antyspamowe

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: Zebezpieczenie antyspamowe

Initial

5.04.2007, 18:26:51

Jak to zrobic zeby skrypt liczyl linki zawarte w formularzu i jezeli jest ich np. wiecej niz 3 nie dodawal komentarza do bazy

Chcialbym podczepic ten skrypt do tego:

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
   die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy 
 
   $link = @mysql_connect($db_host,$db_user,$db_pass);
 
   @mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
   $autor_komentarz = $HTTP_POST_VARS['autor_komentarz'];
 
   $lr_komentarz = $HTTP_POST_VARS['lr_komentarz'];
 
   if($autor_komentarz == "")
 
	  $autor_komentarz = "Anonim";
 
   if($lr_komentarz != ""){
 
	  $lr_komentarz = ereg_replace("n","<br>",$lr_komentarz);
 
	  $autor_komentarz = $autor_komentarz;
 
	  $query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
	  $result = mysql_query ($query);
 
   }
 
}
 
?>
 
<div align="center"><strong><h3>Komentarze</h3></strong></div>
 
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
   $result = @mysql_query ($query);
 
   while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
   <td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
   <td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
   <td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
   <td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
   <td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
   <td width="100%"><strong>Autor</strong></td>
 
   <td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
   <td><strong>Komentarz</strong></td>
 
   <td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
   <td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext

hiomp

5.04.2007, 18:51:41

mnie tez to ciekawi w jaki sposob mozna to zrobic

Zeman

5.04.2007, 19:07:31

Cytat(Initial @ 5.04.2007, 19:26:51 )

Jak to zrobic zeby skrypt liczyl linki zawarte w formularzu i jezeli jest ich np. wiecej niz 3 nie dodawal komentarza do bazy

Chcialbym podczepic ten skrypt do tego:

[PHP] pobierz, plaintext 
<?
...
$nid = $HTTP_GET_VARS['id'];
...
$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
	  $result = mysql_query ($query);
...
?>
[PHP] pobierz, plaintext

Średni pomysł żeby to co przychodzi z $_GET wstawiać odrazu bez sprawdzania w zapytanie do bazy (bezpieczeństwo).

zliczyć linki.... osobiście użyłbym wyrażem regularnych, tj preg_match_all(...)
a jeśli formularz będzie wysyłany masę razy to być może pokusiłbym się o coś szybszego, np strpos(...)

Initial

5.04.2007, 19:15:24

Ale ja nie jestem zbyt biegly w php. Moglbys mi pokazac jak mam to zastosowac

franki01

5.04.2007, 19:17:29

Chcialbym tylko powiedziec ze wlasnie przy takich problemach samemu mozna najlepiej uczyc sie PHP. Metoda prob i bledow + manual na php.net ;]

Initial

5.04.2007, 19:18:29

wiem ja caly czas proboje tylko mi nie wychodzi dlatego napisalem na forum

franki01

5.04.2007, 19:26:29

To bm zrobil tak:

[PHP] pobierz, plaintext 
<?php
 
// ......
 
preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $_POST['lr_komentarz'], $data);
 
$ilosc = count($data[1]);
?>
[PHP] pobierz, plaintext

Jak sie nie pomylilem to w $ilosc powinna byc ilosc linkow w komentarzu.

Initial

5.04.2007, 19:30:19

i w ktorym miejscu to dac

franki01

5.04.2007, 21:31:36

Zamiast (skasuj to):

[PHP] pobierz, plaintext 
<?php
if($lr_komentarz != ""){
?>
[PHP] pobierz, plaintext

wstaw:

[PHP] pobierz, plaintext 
<?php
 
preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $_POST['lr_komentarz'], $data);
 
$ilosc = count($data[1]);
 
   if($lr_komentarz != "" && $ilosc <= 3){
 
?>
[PHP] pobierz, plaintext

Chociaz nie zapewniam ze na 100% to bedzie dzialalo.

Initial

6.04.2007, 08:50:44

Zrobilem tak i niedziala

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
	die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy 
 
	$link = @mysql_connect($db_host,$db_user,$db_pass);
 
	@mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
	$autor_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['autor_komentarz']));
 
	$lr_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['lr_komentarz']));
 
	if($autor_komentarz == "")
 
		$autor_komentarz = "Anonim";
 
	preg_match_all("( ((http://)|(http://)|(ftp://))?([0-9a-zA-Z-/.]{5,}) )si", $HTTP_POST_VARS['lr_komentarz'], $data);
 
  $ilosc = count($data[1]);
 
   if($lr_komentarz != "" && $ilosc <=3){
 
 
		$lr_komentarz = ereg_replace("n","<br>",$lr_komentarz);
 
		$autor_komentarz = $autor_komentarz;
 
		$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
		$result = mysql_query ($query);
 
	}
 
}
 
?>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-2">
<div align="center"><strong><h3>Komentarze</h3></strong></div>
<div align="center"><h5>Bardzo uprzejmie prosimy o zostawianie komentarza kulturalnego i nieobrażajac
ego nikogo. W przeciwnym wypadku zostanie on usunięty</h5></div>
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
	$result = @mysql_query ($query);
 
	while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
	<td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
	<td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
	<td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
	<td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
	<td width="100%"><strong>Autor</strong></td>
 
	<td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
	<td><strong>Komentarz</strong></td>
 
	<td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext

franki01

6.04.2007, 08:55:15

A mozesz napiac dokladniej co jest zle. Czy dodaje do bazy czy co...

Initial

6.04.2007, 09:35:02

no dodaje do bazy

franki01

6.04.2007, 10:05:22

To ponizej u mnie dziala na 100% dobrze. Drobne zmiany zrobilem i dziala.

[PHP] pobierz, plaintext 
<?
 
if (!eregi("index.php", $PHP_SELF)) {
 
	die ("Nie masz dostępu do tego pliku bezpośrednio...");
 
}
 
?>
 
<hr width="90%" size="1" noshade>
 
<?
 
 
 
$nid = $HTTP_GET_VARS['id'];
 
$action = $HTTP_GET_VARS['action'];
 
 
 
//Łączenie i wybranie bazy
 
	$link = @mysql_connect($db_host,$db_user,$db_pass);
 
	@mysql_select_db ($db_name);
 
 
 
if($action == "add"){
 
	$autor_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['autor_komentarz']));
 
	$lr_komentarz = addslashes(htmlspecialchars($HTTP_POST_VARS['lr_komentarz']));
 
	if($autor_komentarz == "")
 
		$autor_komentarz = "Anonim";
 
	preg_match_all("(((http://www.)|(www.)|(http://)|(https://www.)|(https://)|(ftp://))([0-9a-zA-Z-/.%]{5,}))si", $HTTP_POST_VARS['lr_komentarz'], $data);
 
  $ilosc = count($data[1]);
  echo $ilosc;
   if($lr_komentarz != "" && $ilosc <= 3){
 
		$lr_komentarz = ereg_replace(" ","<br>",$lr_komentarz);
 
		$autor_komentarz = $autor_komentarz;
 
		$query = "INSERT INTO ".$tab_komentarz." VALUES ('".$nid."', '".$autor_komentarz."', '".$lr_komentarz."')";
 
		$result = mysql_query ($query);
 
	}
 
}
 
?>
<meta http-equiv=Content-Type content="text/html; charset=iso-8859-2">
<div align="center"><strong><h3>Komentarze</h3></strong></div>
<div align="center"><h5>Bardzo uprzejmie prosimy o zostawianie komentarza kulturalnego i nieobrażajac
ego nikogo. W przeciwnym wypadku zostanie on usunięty</h5></div>
<?
 
$query = "SELECT * FROM ".$tab_komentarz." WHERE nowa_komentarz_id='".$nid."'";
 
	$result = @mysql_query ($query);
 
	while ($line = @mysql_fetch_array($result, MYSQL_ASSOC)){
 
?>
 
<table bgcolor="#fbfbfb" align="center" width="400" cellspacing="2" cellpadding="2" border="0">
 
<tr>
 
	<td valign="top">Autor: <strong><span style="color:#aa0000;"><?print $line['nowa_komentarz_autor']?></span></strong></td>
 
</tr>
 
<tr>
 
	<td valign="top"><div align="justify" style="color:#0000aa;"><?print $line['nowa_komentarz_body']?></div></td>
 
</tr>
 
<tr>
 
	<td valign="top" align="center"><img src="images/dot.gif" width="400" height="1" border="0" alt=""></td>
 
</tr>
 
</table>
 
<?
 
}
 
?>
 
<table align="center" width="250" cellspacing="2" cellpadding="2" border="0">
 
<form action="index.php?index.php?did=art&id=<?print $nid?>&kid=<?print $kid?>&&action=add" method="post">
 
<tr>
 
	<td colspan="2" align="center"><strong>Dodaj komentarz</strong></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="center"><img src="images/dot.gif" width="150" height="1" border="0" alt=""></td>
 
</tr>
 
<tr>
 
	<td width="100%"><strong>Autor</strong></td>
 
	<td><input class="inputtext" type="text" name="autor_komentarz" style="border: 1px solid #000000; width: 250px;"></td>
 
</tr>
 
<tr>
 
	<td><strong>Komentarz</strong></td>
 
	<td><textarea cols="20" rows="5" class="inputarea" name="lr_komentarz" style="border: 1px solid #000000; width: 250px; height: 100px;"></textarea></td>
 
</tr>
 
<tr>
 
	<td colspan="2" align="right"><input type="submit" class="button" name="submit" value="Dodaj" style="border: 1px solid #000000;"></td>
 
</tr></form>
 
</table>
[PHP] pobierz, plaintext

Amadi

12.05.2007, 11:34:45

Witam wszystkich

Mam podobny problem ze spamem w komentarzach. Na razie spróbowałem dodać obrazki z tekstem w najprostrzy możliwy sposób, ale bydlaki jakoś to obeszły. Mógłby mi ktoś pomóc / podpowiedzieć jak to trochę udoskonalić ? Zastanawiam sie nad filtrowaniem słów kluczowych typu "viagra" ale to nigdy nie będzie doskonałe...

Tu przykład zaśmieconego komentarza:
http://www.likh.fc.pl/Aradesh/DT/index.php?id=ww4

Obecny kod skryptu obsługującego komentarze (wiem że nie jest zbyt wyszukany ale napisałem go w jeden wieczór, a i orłem w php za bardzo nie jestem

Cytat

<?
$katalog = "pliki/komentarze/";
$id = $_REQUEST["id"];

$pole1 = trim($_POST["pole1"]);
$pole2 = trim($_POST["pole2"]);
$pole3 = trim($_POST["pole3"]);
$kod_trans = $_POST["kod_trans"];

$literki[0]="dupa";
$literki[1]="h17kjp";
$literki[2]="f283am";
$literki[3]="ds2w8k";
$literki[4]="h9ax24";
$literki[5]="6wp42z";
$literki[6]="43cn1j";
$literki[7]="i56vwb";
$literki[8]="c3e29d";
$literki[9]="u7wk38";
$literki[10]="5xsw2h";

$kod=rand(1,10);

if ($pole1<>"" and $pole2<>"" and strcmp($literki[$kod_trans],$pole3)==0 )
{
$pole1 = stripslashes($pole1);
$pole2 = stripslashes($pole2);
$pole2=eregi_replace("\r","",$pole2);
$pole2=eregi_replace("\n","<br />",$pole2);
$data = sprintf("%04d-%02d-%02d %02d:%02d:%02d",
date("Y"), date("m"), date("d"), date("H"), date("i"), date("s"));
$f=fopen("$katalog$id.txt","a");
fputs($f,"$data`$pole1`$pole2\n");
fclose($f);
}

if (file_exists("$katalog$id.txt"))
{
$dane = file("$katalog$id.txt");
$dane = array_reverse($dane);
foreach ($dane as $linia)
{
$l = explode("`", $linia);
echo "<p>Dnia <b>$l[0]</b> użytkownik <b>$l[1]</b>
napisał:<br />$l[2]</p>";
}
}
else echo "Twój komentarz może być pierwszy...";
?>

<form action="index.php" method="post">
<input type="hidden" name="id" value="<? echo $id; ?>" />
<input type="hidden" name="kod_trans"
value="<? echo $kod; ?>" />
<br><br>
<table>

<tr><td>Nick:</td>
<td><input type="text" name="pole1" /></td></tr>

<tr><td valign="middle"><br>Kod z obrazka:<br></td>
<td valign="middle"><br><input type="text" name="pole3" /> <? echo "<img src=\"pliki/$kod.jpg\">";?><br><br></td></tr>

<tr><td>Komentarz:</td>
<td><textarea name="pole2" rows="15" cols="60"></textarea></td></tr>

<tr><td> </td><td><input type="submit" value=" Dopisz! " /></td></tr>
</table>
</form>

Kicok

12.05.2007, 13:26:34

Cytat

Choćby nie wiem jak skomplikowany był ten obrazek to dla botów odczytanie tekstu będzie banalne. Tak samo podawanie jawnie numeru obrazka jest dla botów ogromnym ułatwieniem. Jeśli nie chcesz bawić w dynamiczne generowanie obrazków to:

1. Poczytaj o sesjach. Podczas wyświetlania formularza zapisuj do $_SESSION losowy numer kodu z tablicy $literki.
2. Stwórz sobie dodatkowy plik php, np. captcha.php, który odczyta z tablicy $_SESSION numer kodu i na tej podstawie wyśle do przeglądarki odpowiedni obrazek:

[PHP] pobierz, plaintext 
<?php
 
  session_start();
 
  $literki[0] = "dupa";
  $literki[1] = "h17kjp";
  $literki[2] = "f283am";
  $literki[3] = "ds2w8k";
  $literki[4] = "h9ax24";
  $literki[5] = "6wp42z";
  $literki[6] = "43cn1j";
  $literki[7] = "i56vwb";
  $literki[8] = "c3e29d";
  $literki[9] = "u7wk38";
  $literki[10] = "5xsw2h";
 
 
 
  if( !isset( $literki[$_SESSION['losowy_kod']] ) || !file_exists( 'pliki/' . $_SESSION['losowy_kod'] ) ) {
	header( 'HTTP/1.1 404 Not Found' );
	exit();
  }
 
  header( 'Cache-Control: no-cache, must-revalidate' ); 
  header( 'Expires: Mon, 26 Jul 1997 05:00:00 GMT' );
  header( 'Content-type: image/jpeg' );
 
  readfile( 'pliki/' . $_SESSION['losowy_kod'] . '.jpeg' );
 
?>
[PHP] pobierz, plaintext

Dzięki temu do formularza będziesz mógł wstawić obrazek z nic nie znaczącym źródłem:

[HTML] pobierz, plaintext 
<img src="captcha.php" />
[HTML] pobierz, plaintext

3. Po wysłaniu formularza sprawdzasz czy kody się zgadzają. Jeśli tak to dodajesz komentarz.

Amadi

14.05.2007, 19:38:28

Niegłupie, ale widzę że będę się musiał w wolnej chwili trochę douczyć żeby to wdrożyć w pełni świadomie

A póki co dorzuciłem zabezpieczenie proste do bólu wycinające komentarze zawierające słowa kluczowe typu "viagra", "cialis" itd. I o dziwo działa

A przy tym użytkownicy się nie buntują bo są to słowa raczej przez nich nie używane

Mam z tą stroną o tyle dobrą sytuację że jest stricte polska, a boty raczej są anglojęzyczne, więc łatwiej powybierać słowa kluczowe blokujące możliwość komentowania.

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.