| |
|
|
| | Есть форма на странице. Называется "послать ссылку другу".
В ней три поля input куда юзер вводит:
- свое имя,
- свой маил,
- и маил друга.
И три скрытых input'а которые заполняются скриптом:
- session_id();
- Ссылка на страниц (которая будет отправлена)
- Название документа (на который ссылвается ссылка)
В скрите который у меня отправляет линк, я проверяю SID так:
//
// Проверяем SID
if(session_id() !== @$_POST['session_id']) exit;
|
Вопрос. Безопасен ли такой вариант? Можно ли, при таком подходе быть уверенным что злобные спамеры каким-то образом не обойдут проверку сессии. | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 18:58)
| | | Сессию можно подделать и это не слишком сложно.
Единственный действенный способ защиты от автоматического заполнения форм известный на данный момент - проверка картинкой. | |
| |
|
|
| |
|
|
| |
для: Temnovit
(03.05.2007 в 19:10)
| | | А причем тут подделка сессии?
На сколько я понимаю, то когда спамер будет посылать в мой скрипт данные методом POST с другого хоста, то в моем скрипте сгенерируется новая сессия, которую он по моему заколебется подбирать....
Это мое представление данного вопроса. Вот я и спрашиваю, а прав? Или есть обход данного механизма?
И сможет ли спамер, как-нибудь с моего же хоста отправить свои данные? | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 19:20)
| | | нет не прав. бот работает так же как броузер и все что может броузер может и бот (куки, сессии, скрытые поля, переход по ссылкам и прочее). | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 18:58)
| | | нет | |
| |
|
|
| |
|
|
| |
для: indexer
(03.05.2007 в 20:08)
| | | >нет
Это про что нет? | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 18:58)
| | | >Можно ли, при таком подходе быть уверенным что злобные спамеры каким-то образом не обойдут проверку сессии.
Нет, нельзя. Боты сейчас это делают "на потоке", то есть не надо даже под конкретный сайт затачивать. Проверено, увы, на себе - пришлось делать каптчу вместо вот такой вот прошивки, хотя у сайта дай бог три посетителя в неделю) | |
| |
|
|
| |
|
|
| |
для: Киналь
(03.05.2007 в 20:58)
| | | Короче, надо добавить картинку с кодом. | |
| |
|
|
| |
|
|
| |
для: vov4ik
(04.05.2007 в 10:43)
| | | А как это делается? | |
| |
|
|
| |
|
|
| |
для: coloboc66
(04.05.2007 в 12:24)
| | | Возможно вас заинтересует эта статья http://www.softtime.ru/info/randomimage.php | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 18:58)
| | | > Можно ли, при таком подходе быть уверенным что злобные спамеры каким-то образом не
>обойдут проверку сессии.
Нет, защита ссылкой обходится на раз два. Подробности в теме по ссылке http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=9050. | |
| |
|
|
| |
|
|
| |
для: tAleks
(03.05.2007 в 18:58)
| | | Да и картинка не всегда защищает ;) | |
| |
|
|
| |
|
|
| |
для: Artem S.
(06.05.2007 в 04:00)
| | | не всегда, но все же защищает в большинстве случаев. | |
| |
|
|
