Форум PHP

Хочу защитить свою гостевую книгу от флуда. Поставил каптчу, но этого оказалось мало. Если не сложно, приведите пример кода, защищающего от повторного посыла сообщения минут на10, проверяющего при этом куки и ip одновременно. Заранее спасибо!

Значит так:
Посетитель пишет сообщение и данные записываются в БД. Но помимо текста что он ввел нужно еще добавить служебные данные: IP-адрес, название браузера (лучше всего записывать MD5 от названия агента) и время отправки данных.
И каждый раз в скрипте перед добавлением новой зипси проверять, есть ли запись с такого IP, таким же md5 и не позднее 10 минут. Если записей нет, то можно записывать, иначе вывод сообщения.

Делаем запрос:

SELECT * FROM `table` WHERE `ip`='".$_SERVER['REMOTE_ADDR']."' AND `agent`=MD5('".$_SERVER['HTTP_USER_AGENT']."') AND `date` > DATE_SUB(NOW(), INTERVAL '1' HOUR)"

Если результат пустой, то добавляем новую запись:

INSERT INTO `table` VALUES ('...)

Это защита от флуда (частого добавления сообщений от людей), и помимо этого нужно сделть еще защиту от спама (от роботов, ведь они могут менять и IP и свой агент), для этого делаем каптчу, чтобы символы были расоложены хаотично, имели роизвольный угол наклона и размер (еще можно заморочиться с разными шрифтами)
пример есть тут: http://www.sport54.ru/registration/

есть еще способ, более универсальный. Представьте что висят 10 человек на proxy. У всех ip один и тот же.
Поэтому предлагаю хранить время в сессии.

А Вы представьте, что от сессии можно избавиться простым "вытиранием" куки.

вопрос был: скрипт проверяющий куки и ip. Очень неприятно если ты в фирме на proxy и не флудер, а тебя таковым считают. Поэтому исключать по ip не выход.

Определять только по IP-адресу, естественно, не совсек правильно. Поэтому я и предложил использовать альтернативный вариант: кроме IP проверять агент пользователя. Вероятность совпадения и адреса и браузера почти нулевая (даже в крупном офисе, всегда разные браузеры, да что там :) даже винда у всех может быть разная, т.к. ломаются компы не все сразу и устанавливается ПО на них в разное время и с разных дистрибутивов).

ойли? сейчас процентов 90 компьютерного парка работают под виндой, самые распространенные версии - виста и xp. Если броузеры регулярно обновляется, то версии броузеров будут одинаковые. Количество распространенных броузеров можно посчитать по пальцам одной руки (и еще останется). Так что ваша почти нулевая вероятность резко подпрыгивает процентов до 20 в среднем. А вероятность того, что это окажется виста с эксплорером так и вовсе процентов 50...

PS Кстати, тут столкнулся с забавной ситуацией: в одной конторе у всех стоит одинаковый эксплорер - корпоративный стандарт. Так что все получаются од одним ip и с одинаковым юзерагентом:)

В своём скрипте я фиксирую время, IP и Useragent посетителей. Получается так:

14:53:08  Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 5.4 (build 02647); MRSPUTNIK 2  94.241.232.225    14:53:07  Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRA 5.4 (build 02647); MRSPUTNIK 2, 0,   77.74.10.146    14:53:06  Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9) Gecko/2008052906 MRA 5.4 (build 02647  91.209.69.253

Полностью совпадающих Useragent исключительно мало. Хоть запятой, хоть пробелом, хоть чем-нибудь, но отличаются. Как можно полагать, md5 даст все эти отличия.

Да именно так. Обязательно будут отличия или версия браузера или сборка или еще доп. информация. Конечно это не понацея от всех случаев, но чтобы не мудрить с сессиями и куками этого вполе достаточно.

Ну чушь ведь несете...

Trianon, а как на Ваш взгляд лучше всего защищаться от "флуда"?

Не знаю я, как защищаться от флуда лучше, а как хуже.
В том смысле, что ничего нового не скажу.
Но писать скрипты так, чтобы при этом корпоративные клиенты ставились раком - свинство.

>Не знаю я, как защищаться от флуда лучше, а как хуже.
В том смысле, что ничего нового не скажу.

Не обязательно же, что-то новое...

Ну, хотя бы "последний метод защиты" можно?)

Как бы Вы "защищались"?

>Но писать скрипты так, чтобы при этом корпоративные клиенты ставились раком - свинство.

Тут спору нет))

>Как бы Вы "защищались"?

регистрация

Ясно, Спасибо)

Лично я вообще ограничиваю хождение по сайту. Корпоративные или некорпоративные посетители - мне безразлично. Считаю, что если один посетитель просматривает 100-200 страниц (а на практике было и намного больше), то это ненормально и такие посетители мне не нужны. Мне известна средняя глубина просмотра. И установлен лимит - пятикратное превышение среднего. Вероятность, что этого кому-то не хватит, исчезающе мала.

Непонятно лишь, почему вы считаете, что у каждого посетителя собственный IP-адрес.

Нет, конечно свой адрес не у каждого. Но вероятность того, что два разных посетителя с общим адресом встретятся на сайте в течение часа (а блокировка действует на это время), невелика.

Здесь нужно добавлять - на моем сайте.

Я знаю не одно предприятие, где тысячи рабочих мест, и несколько сотен имеет доступ в интернет через общий корпоративный прокси. И как заметил Loki, часто в таких организациях, одинаковый софт - правило, возведенное в закон.
Все Ваши обывательские оценки вероятности с учетом этого летят в корзину.

За Ваш сайт я особо не беспокоюсь.
Но здесь Вы распространяете идеи. Дурные идеи.
Которые будут переняты другими людьми.
Это мне и не нравится.

Это не бред! Дело не в качестве идей (определять пользователей по IP-адресу и ПО), просто для максимально простой защиты это вполне сойдет. Ведь защита включается на 1-10 минут, не думаю, что люди с одним IP и абсолютно одинаковым софтом (включая версию, язык и номер сборки) будут писать сообщение в одну и туже тему (например если это форум) в одну и туже минуту. Если так желаете вообще все случаи рассмотреть, то давайте просто каждому посетителю ставить сессию и по ней уж точно все будут "уникальными"

"давайте просто каждому посетителю ставить сессию и по ней уж точно все будут "уникальными"

Это не так просто, как кажется!
По моей статистике, 3.7% посетителей просматривают сайт с выключенными cookies. К тому же, существуют несессионные поисковые боты, так что если вы не будет показывать сайт тем, у кого выключены cookies, то пострадает выдача.

"Я знаю не одно предприятие, где тысячи рабочих мест...
Все Ваши обывательские оценки вероятности с учетом этого летят в корзину. "
Нет, всё остается в силе.
До этих предприятий мне дела нет - я им ничем не обязан и само их существование в расчет не беру.

"Здесь нужно добавлять - на моем сайте."
Я именно так и пишу в своих сообщения - "Лично я " делаю следующим образом и т.д. И никогда не возвожу свои взгляды в общее правило.

"здесь Вы распространяете идеи. Дурные идеи."
Я делюсь своим опытом и своим взглядом на проблему. Свои идеи я считаю хорошими.

При всё моём уважении к Вам, Trianon, всё же не стоит высказываться столь категорично.

>"Я знаю не одно предприятие, где тысячи рабочих мест...
>Все Ваши обывательские оценки вероятности с учетом этого летят в корзину. "
>Нет, всё остается в силе.
>До этих предприятий мне дела нет - я им ничем не обязан и само их существование в расчет не беру.

Так и я не про них пишу.
Уж коль скоро такой разговор вышел, подобного рода подключения (с общим IP) характерны и для некоторых провайдеров.

Я про посетителя интернета, который заходит на сайт, подобный Вашему, и подвергается ограничениям никак лично на него (посетителя) не завязанным.

>"Здесь нужно добавлять - на моем сайте."
>Я именно так и пишу в своих сообщения - "Лично я " делаю следующим образом и т.д. И никогда не возвожу свои взгляды в общее правило.



>"здесь Вы распространяете идеи. Дурные идеи."
>Я делюсь своим опытом и своим взглядом на проблему. Свои идеи я считаю хорошими.

В этом я тоже не сомневаюсь. Именно поэтому и вынужден их компрометировать.


>При всё моём уважении к Вам, Trianon, всё же не стоит высказываться столь категорично.

В каком смысле - категорично?

"В каком смысле - категорично?"
В том смысле, что на идею приклеиваете ярлык, называя её дурной.
Если она Вам не нравится, то она не обязательно дурная.

Есть Ваш взгляд, есть мой взгляд - это всего лишь частные мнения двух людей.

Вы путаете причину со следствием.
Я её назвал дурной не потому, что она мне не нравится, а потому что она одних пользователей ставит в зависимость от других.
И дурная она не потому, что у меня такой взгляд.

Я её назвал дурной не потому, что она мне не нравится
Так она Вам нравится?

а потому что она одних пользователей ставит в зависимость от других.
Да и фиг бы с ними. У каждого своя жизнь.

Завтра объявлена профилактика на хостинге и сайт вообще будет недоступен ни для кого. И что, мне кричать "караул"?

>Я её назвал дурной не потому, что она мне не нравится
>Так она Вам нравится?

Этого я не утверждал.
Хотя для внутрикорпоративного сайта, например, идея вполне здравая.


>а потому что она одних пользователей ставит в зависимость от других.
>Да и фиг бы с ними. У каждого своя жизнь.
>
>Завтра объявлена профилактика на хостинге и сайт вообще будет недоступен ни для кого. И что, мне кричать "караул"?

Тут недавно мастерхост с софттаймом что-то подобное устраивал, чтобы далеко не ходить. .
И были отклики как посетителей, так и владельцев портала.

Одно дело форс-мажор, и другое - нормальная работа.

Вот для тех, кто пришел вторым с использующегося адреса, это и будет форс-мажор.

>Есть Ваш взгляд, есть мой взгляд - это всего лишь частные мнения двух людей.

Когда я хочу указать, что некая мысль является моим частным бездоказательным мнением - я обычно так и пишу - "по-моему", "IMHO" и т.п.
Это кстати, случается здесь довольно часто.

Напиример:
По-моему, ярлыки приклеиваются на людей, а не на идеи.

Любая мысль, рожденная в голове человека, является его частным мнением. Отсутствие или наличие доказательств ничего не меняет. Ибо собеседник может отклонить доказательста точно также, как и саму мысль.

(Рубаи Акмуллы в моем вольном изложении).

> Лично я вообще ограничиваю хождение по сайту...
Зачем?

> Считаю, что если один посетитель просматривает 100-200 страниц (а на практике было и намного больше), то это ненормально и такие посетители мне не нужны...

Что ж тут ненормального?

Все зависит от решаемой задачи.
Я делаю адаптивный сайт и качалки мне мешают.

Что значит - "... адаптивный сайт и качалки мне мешают" ?

Что значит - "... адаптивный сайт и качалки мне мешают
В самом общем виде.
Человек живет среди людей, а в интернет заглядывает лишь время от времени и знает о нем очень мало.
А вот для сайта интернет - это естественная среда обитания и он сам способен к ней адаптироваться, если ему предоставить такую возможность. Так что не человек должен управлять сайтом, а сайт должен направлять поведение человека на удовлетворение тех своих нужд, которые он сам удовлетворить не может. И тогда сайт будет обеспечивать максимум продаж.

В мою аналитическую систему вошло почти два десятка торгующих сайтов (интернет-магазины по продаже книг, дисков, косметики, ферромонов, программ, добавок и т.п.). Как я вижу из сводной статистики, обнуленной 14 мая, ни у одного из них за это время не было ни одной продажи, которую бы совершил посетитель после просмотра десяти или более страниц. Четыре-пять просмотров, и если человек ничего не купил, то уже и не купит. Их я и называю качалками (бродягами). Их можно банить, чтобы они не мешали анализу, ибо магазину не нужны посетители. Ему нужны покупатели.

Спасибо, понял)

>ибо магазину не нужны посетители. Ему нужны покупатели.

А на вашей аналитической системе не весит надпись "Автобус ждать на улице"..?
Из своего опыта могу сказать что человек платит в интернете либо прийдя по конкретной ссылке (+ 2-3 перехода для уточнения) либо досканально изучив варианты предложений, почитав отзывы... а при вашей политике вы будете ВЫГОНЯТЬ вместе с теми кто возможно не разобрался во всех наворотах вашей аналитической системы или не нашел ничего интересного и тех кто не успел сделать выбор.. Обычно грамотные торговые площадки интелектуально корректируют вывод вплодь до диалога... но банить.. хотя вам виднее..

"вы будете ВЫГОНЯТЬ вместе с теми кто возможно не разобрался во всех наворотах вашей аналитической системы или не нашел ничего интересного и тех кто не успел сделать выбор.. "

Посетителям в моей системе нет необходимости разбираться, ибо они даже не знают о ее существовании. Для них ничего не изменилось, кроме того, что после большого числа просмотров они получают 404. И это не катастрофа - подумаешь, сайт упал, велика важность!


"Обычно грамотные торговые площадки интелектуально корректируют вывод вплодь до диалога... но банить.. хотя вам виднее"

Многое из того, что обычно делается, делается неправильно. Сайты привлекают посетителей, выполняя для этого известные требования SEO. Но, как показывают мои наблюдения, иногда это не только не повышает, но даже понижает продажи! Потому, что анкоры внешних ссылок меняют тематику сайта в глазах поисковиков и уводят его еще глубже в выдачу по тем ключевым фразам, по которым приходят покупатели. В итоге, посетителей делается больше,а покупателей меньше.

Если у Вас есть возможность, просто посмотрите, по каким фразам пришли посетители, ничего не купившие, и по каким пришли люди, сделавшие покупки. Я бы мог дать скриншот, ну да ладно (а то это уже как нажим).

Разумеется, к поисковой фразе "Powercom Smart King SMK-800A" это не относится. Но ведь это не вся торговля.

Чтобы лучше выделить покупателей из общей массы по их поведению, мне приходится банить бродилок, потому что они мне мешают. Мера эта временная, но необходимая на этапе исследования. Потом магазин от бана может воздержаться (хотя на своих сайтах я его намерен оставить).

Переориентация на покупателей и игнорирование бродилок в большинстве случаев дает хороший результат. К примеру, в конце того года я взял в управление один сайт, и сейчас его доход от продаж вырос почти в тридцать раз. А посещаемость упала.

Владимир, а сколько страниц просмотрели Вы при выборе (далеко ходить не будем) ИБП?
Одно дело не учитывать человека при анализе статистики, а другое дело "перекрыть кислород" и выкинуть с сайта.
Кстати, если бы хотябы половину людей прислушивались к (личному) мнению Трианона, то жить бы стало лучше, жить бы стало веселее.
А вот с мнением товарища Акмуллы (в Вашей вольной интерпретации) я лично соглашаться не хочу. Я не читал его рубаи, но думаю что кроме своих мыслей он не оставил ни единого доказательства. А вот если бы люди не принимали на веру идеи и мысли (которые именуются аксиомами), человечество лешилось бы половину открытий. И возможно мы бы сейчас не общались на форуме, а махали каменным топором выдалбливая SMS в почтовой пещере)) или вместо жилья в камелоте выискивали объявления о продаже пустых винных бочек.

"Владимир, а сколько страниц просмотрели Вы при выборе (далеко ходить не будем) ИБП?"

Хороший вопрос!

Получается, что первоначально я посмотрел три страницы. Но ничего не купил, ушел.

Возвратился через пару дней. Провел полный анализ, просмотрев страниц пятьдесят, если не больше. И опять ничего не купил.

Пришел в третий раз и сделал покупку на третьем просмотре.

Ну вот, то что "система" Вас не проанализировала, Вам как-то "прохладно", ведь вы совершили покупку, а вот если бы система не дала вам возможности совершить задуманное (пусть даже некоторое время), Вы бы купили в другом месте, да и настроение могло бы испортиться до такой отметки, что Вы бы забыли о существовании этого интернет магазина.
И это только вершина айсберга, потому как изначально речь шла о совпадающих IP, в итоге "недовольным" остаться мог не один человек, а гораздо больше. Вобщем "блокировка по IP" это пережиток старины, учитывать при анализе IP и его изменение нужно обязательно, а вот блокировать крайне нежелательно.

Мне никак не удается донести да Вас, Valick, и до Trianon, что моя единственная задача, это повышение прибыли от торговли. И мне совершен безразлично, у кого какое настроение и кто что подумает на каком-то заводе. Есть единственный ориентир - сумма недельной выручки. Если эта сумма растет, то движение идет в верном направлении.

И причина тому не алчность. А, скорее, азарт. Примерно, как в казино. Или на стадионе. Желание показать, что я что-то могу, что-то умею. Умею побудить людей сделать то, что мне надо. В частности, совершить покупку. Это походже на единоборство. И на игру. Это своего рода состязание, это интересно.

Вы сказали, что большое количество посещений плохо отражается на продажах (и это только в том случае, если количество посещений не есть предмет продажи), Вы делаете с точностью до наоборот те. стремитесь достичь пердела (максимума продаж). Не мне Вам рассказывать, что крайности это плохо. На мой Взгляд нужно стремится к росту и посещений и продаж одновременно, а вот чтобы исключить обратнопропорциональную зависимость... это и есть задача над которой стоит поломать голову.

На мой взгляд, Valick, магазину нужно стремиться к росту суммы на счете. А все прочее исключить из рассмотрения.

Владельцы магазинов со мною согласны, поэтому так мы и будем делать. Без лирики.

Да я и не собираюсь спорить с человеком который старше меня в два раза и с таким опытом в бизнесе. Я лишь высказываю своё мнение (пусть со стороны оно и выглядит лирикой), но мне кажется Вы выжимаете максимум из того что есть, и как только выжмите согласные владельцы магазинов присядут на обочине "покурить бамбук" вместе с покупателями)
Прежде всего Вы продаёте себя (в лучшем смысле этого слова), а уж то что владельцы магазинов получают прибыль, так это сопутствующий фактор))

"Вы выжимаете максимум из того что есть, и как только выжмите согласные владельцы магазинов присядут на обочине "покурить бамбук" вместе с покупателями"

Вы имеете в виду, что если не заботиться о притоке посетителей, пусть и ненужных сейчас, то в какой-то момент времени ситуация может выйти из под контроля?
Пожалуй, что об этом тоже надо помнить. Спасибо за совет!

"Прежде всего Вы продаёте себя (в лучшем смысле этого слова), а уж то что владельцы магазинов получают прибыль, так это сопутствующий фактор))"

В общем то так. Если не считать того, что некоторые владельцы магазинов потеснились и дали мне долю.

А вцелом, разве бывает иначе? Разве кто-то получает доходы, не продавая себя? Свое время, тело, разум?
Разве программисты себя не продают?

>Мне никак не удается донести да Вас, Valick, и до Trianon, ч

Ну почему же. Что до меня, то это Вам удалось довольно давно.

А что значит "...хранить время в сессии"? Как это примерно работает, можете рассказать?

... $_SESSION['time_server']=time(); ...

Подробности в документации о сессиях

Спасибо Пятак)

Можно подключиться к сервису http://fairvote.ru