Форум PHP

Продолжаю осваивать пхп, продвигаюсь дальше со своим скриптом, доделал комментирование и думаю о капче. Все таки не удобно это, у каждого человека просить вводить цифры, буквы, отчасти людей уже это задолбало потому как эти данные нужно вводить чуть ли не на каждом сайте.
Вопрос, а можно ли без нее обойтись? Но так что бы боты не проходили...
Если этот вопрос глуп сам по себе, скажите, просто я только начинающий =) Заранее благодарен за ответ...

Нельзя.

Жаль (

спасибо за ответ.

Можно!
Сделав регистрацию с Captch'a. При том что оставлять сообщения могут только зарегистрированные пользователи! Это не много упростит жизнь пользователям!

Ну я пока еще не дорос знаниями для деланья авторизации ) Только учусь... Тем более сайт я пока пишу для себя, что-то вроде домашней страницы где буду публиковать разные материалы и вот сделал систему комментариев и думаю как обезопасить страницы сайта от спама и вот не сильно хотелось использовать капчу...

Можно сделать ее максимально простой. Например картинку на которой написано какое-то двузначное число русскими буквами и просить ввести его цифрами. Очень быстро и понятно, а роботы по русски с картинок читать не умеют. Проверял - работает отменно (или мне повезло?).

ну я делаю сейчас все в первый раз) Капчу еще своими руками не творил, вот посмотрел пример от команды софт тайма и его разбираю, что и как... Так что не знаю пока как сделать, то о чем вы говорите, соответственно не могу судить повезло Вам или нет ))

вот еще способ защиты от спама http://akismet.com/faq/

Если я правильно все понял со своим скудным знанием английского, то это дополнение к Ворд прес? Только я не совсем понял как и что, скачал исходник, но в коде заблудился...

Почему бы не сделать систему премодерации? Ввёл посетитель коммент и сказать ему, что коммент появится после проверки модератором.
Или отправлять на модерацию (или игнорировать) комменты, в которых присутствует ссылка. Ведь абсолютное большинство спама имеет ссылку.

Тоже вариант. Спасибо за мысль.
А вот вы тут заговорили о том, что большенство спама содержит ссылку, а если просто регулярными выражениями фильтровать текст сообщения, то спам пройдет или нет? Я просто плохо знаком с работой спам ботов...

ну в общем как вариант можно и так попробовать
вообще цель спамеров нагадить в гостевую книгу/форум, при этом создав ссылку на свой сайт с определенным ключевым словом
так что если запретить вообще постить ссылки, тогда спам боты скорей всего пойдут лесом

так думаю и сделаю. Ежели не покатит этот вариант тогда буду и про капчу думать.
Хотя вот тут пошарил по сайтам посмотрел статьи о взломе капчи и определении алгоритма... эх серьезное это занятие, творение идеальной защиты, у меня пока познаний для этого не хватит)) Буду начинать с элементарного.

Фильтровать не надо, надо ввести условие if ( preg_match('ссылко', $message) ) { /* отправляем на модерацию или игнорируем */ }
Спам-боты работают очень просто - ищут на сайте форму в любом её проявлении и постят туда шаблон рекламного сообщения.

Паттерн регулярного выражения предоставить не могу, так как с телефона сижу. Могу только предложить погуглить по форуму.

Ну вот этот вариант мне очч нра, его и буду развивать. Спасибо за помощь.

Если спрятать форму ввода, и вывод самих сообщений в iframe, найдет ли бот куда ему поститься?

Некоторые боты используют движки браузеров. Ваш браузер найдет? Бот тоже.

Но как боту вставить в форму? То что в iframe ведь не видно на странице в виде кода? Это можно только визуально наблюдать.

Вот в этом я некомпетентен. Скорее всего до визуальной части не доходит вообще. Программа может, допустим, из RAM достать имена полей, адрес обработчика и прочее, когда браузер закончит обработку страницы.
Никогда спам не привлекал - точно сказать не могу :)

А я могу. Только с помощью JS, получив innerHTML фрейма, можно получить его содержимое. Но это потребует модификации страницы, думаю бот этим не занимается. Те кто понимает, уже даже вручную перестали ссылки забрасывать, во-первых они вырезаются, а во-вторых смысла нет от них, если даже и вставить их.

Еще раз: этим займется браузер. В итоге найдет форму, отпарсит, занесет в RAM. Дальше дело бота. Что Вас смущает?

Э нет :) Я говорю о конкретной Гостевой, а сделана она на подобие AJAX - как только пользователь добавил сообщение, занесли результат в базу, все, пользователю возвращется во фрейм только сообщения, уже без формы, а обработчик уже не примет нового сообщения. Все ссылки на обработчик просто недействительными становятся.

Есть еще разновидность капчи. Называется 2+5. Пишете пример простой и просите его решить. Даже картинка не обязательна.

Еще был способ - делать поле текстовое, но скрывать его display: none. Пользователи этого поля не видят и не заполняют, а боты могут заполнить, ибо стараются заполнить все поля. На сервере, при приеме сообщения, нужно проверить. Если поле заполнено - выводим сообщение, что не нужно было этого делать. Если не заполнено - добавляем.

Вообще, абсолютной защиты нет. Даже капчу можно распознать при помощи системы распознавания образов. Кроме того, можно сделать "киборга". Человеку будут показваться только капчи, он будет верно на них отвечать, а остальные поля бот заполняет сам. При этом требуется оператор, но кто сказал, что жизнь спамера легка? Короче, это зависит от популярности вашего сайта, везения и уровня спаммеров. В конце концов, действительно, можно запретить ссылки. Но это не удобно для нормальных юзеров. Я лично пока пользую метод скрытого поля.

2+5 знаю такое, но наверное лучше писать случайно, например:
2 и еще 7 что больше
12 да 24 сколько будет вместе

Нет конечно, нет 100% защиты. Но а ссылки, это смотря какой сайт, если это магазин, то они там не нужны - вопросы там совсем не о сайтах сторонних. Раньше при "стандартной" Гостевой пачками были ссылки, а после того как возможность их добавления была убрана, стали добавлять всякую муть "философских" измышлений. Как Гостевая стала на фрейме сделана - все прекратилось. Иногда, редко, ручками вставляют, добавляя bb-код старательно, видимо надеясь на что-то.

Дык нет ее... Но каждому разработчику как я понимаю хочется придумать свой алгоритм) Я их в этом понимаю и думаю когда наберусь необходим количество знаний, тоже начну чтото такое, эдакое творить. Ну а пока простой метод : поражений и проб...

Ну мне запрет на ввод адресов подходит. Просто сайт это будит моя персональная страница, скажем будут новости, статьи и прочие материалы. Зачем обычному юзеру которому стал интересен материал кидать ссылку? в общем это я к тому, что если и будит комментирование то по теме материалов...

Спасибо вам за мнение)

Всё, что можно сделать через браузер, можно сделать и скриптом.
http://softtime.ru/forum/read.php?id_forum=1&id_theme=19253

А если злоумышленник нацелился на конкретный сайт, то тут уже ничто не спасёт. Никакие iframe'ы, J-скрипты... даже captcha, какой бы защищённой она ни была.

Все, так что будем писать только html =) зато и защиты не нуно =)))

Кстати если отбросить юмор, то всегда хотелось знать, а бывает ли вообще идеально написанный защищенный сайт на пхп... Ведь, если так посмотреть, при желании и упорстве ломается все (( Или это просто вечная игра программиста который ищет новые подходы защиты и следом за ним злоумышленник который думает как обойти...

Идеального в природе не существует!

форму можно строить яваскриптом. Подавляющее большинство роботов его не обрабатывает.

Ну до Явы я еще не дошел, так, что врядли сейчас смогу сделать, то о чем вы говорите( ( Я думал средствами пхп возможны ли еще варианты? Вот мы тут выше говорили о том, если использовать регулярные выражения и просто не пускать сообщения в которых используются ссылки... Но в эффективности не уверен... в общем дилемма...

Это зависит от того, что вы защищаете и чем готовы пожертвовать - как видите на этом форуме защиты изображением нет...

Ой здравствуйте! Посмотрел ваш профиль на форуме и понял, что вы один из авторов книги которую я как раз читаю "ПХП 5 на примерах". Хорошая книга, спасибо вам ))
Ну защитить я хотел бы свой персональный сайт в котором я буду размещать разные материалы в рубриках. И к каждой статье можно оставить комментарий. Вот и продумываю защиту какую можно сделать для этого. Пока из вариантов предложили, капчу но мне это не по душе, использование ява скрипт но я его еще не умею писать, использование скрытой формы и регулярные выражения. Из выше перечисленного мне ближе рег. выражения, но не знаю остановят ли они спам и вообще пригодны ли они для этого... А что касается форума то да, вижу что защиты нет, но и спама тоже не нахожу))

чисто если больше делать нефиг можно дать юзеру прослушать некие числа, он их ввел бы... но я видел это всего один раз (точнее на одном скрипте) и то на случай если грузится капча =) еще можно задать вопрос, вроде там "сколько дней в високосном году?" ну и т.п.

Не ну это таже капча что ли... Главная Идея была в том, как защититься от спама на сайте, но так, что бы комментировавшему пользователю было удобно (тоесть не надо было бы вводить разные данные что бы ответ добавить); По своему опыту знаю, что иногда хочется поучаствовать в теме на разных сайтах, но отпадает желание когда передо мной ставят задание, что-то ввести или ответить на вопрос, просто немного выпадаешь из дисскусии и тебя начинают волновать совсем другие вопросы типа "А правильно ли я ввел", "о черт снова не правильно, да ну его!".

Количество вопросов конечно. А значит минут за десять я могу робота натаскать на ваш сайт. Другой вопрос, что в 95% случаев это делать не станут. Но все равно я считаю что защита с клиентской стороны должна быть как можно более запутанная. И чтобы при малейших в ней изменениях приходилось начинать разбирать ее сначала:)

Большинство спамеров - это раскрутчики сайтов - они помещают URL, чтобы их подхватывали роботы поисковых систем и выставляли раскручиваемому сайту больший индекс цитируемости. Как один из способов запретить URL вообще, или разрешить только тем посетителям, которые оставили не менее 10 сообщений (спамеры, как правило, заводят каждый раз новые аккаунты, чтобы с ними было бесполезно бороться при помощи банна).