Wie prüft ihr eigentlich (mit PHP) ob Daten ausschließlich vom eigenen Formular kommen?
Ich mach das mit der Session. Gibt es evtl. sinnvollere Lösungen?
Und, kennt ihr eine sinnvolle Alternative zu CAPTCHA?
Fragen über Fragen ...
ick probiers seit ner woche mit begriffen die ich filtern lasse, das klappt echt schlecht als recht ;-)
aber hier jibts noch andre möglichkeiten:
http://www.spider-trap.de/
https://www.thequod.de/de/comp/mysoft/spambothoney
http://www.phpmag.de/itr/news/psecom,id,27818,nodeid,61.html
an sonsten ja captcha, aber wird wohl auch irgendwann vorbei sein, siehe hier:
http://sam.zoy.org/pwntcha/
also ich hab mal von einem interessanten ansatz gelesen: man erzeugt 1-n beliebige felder im formular und versteckt sie. allerdings nicht mit dem hidden-attribut, sondern per css (display: none). sollten die felder ausgefüllt werden, ist wohl was faul. ;)
nene, das klappt ma garnich, ich hab das ausprobiert und das hat nich geklappt ;-)
gehts per referrer auch nicht?
hab ich noch nich ausprobiert ich denke aber nicht, denn die bots die da was böses wollen simulieren ja nich nur erfolreich diverse browser sondern haben auch kein problem damit auch noch den richtigen referer zu schicken.
Marcel: DIV drum und das verstecken? Oder checken die das?
checken se
http://www.drweb.de/webmaster/kontakt-formulare.shtml
:planlos
position:absolute-DIV nach links rausschieben ?!
hab ich noch nich probier ;-)
aber wieso sollte nen spambot auf styles hören? dem is doch eh allet schnuppe
Ebend. Deswegen:
[quote]also ich hab mal von einem interessanten ansatz gelesen: man erzeugt 1-n beliebige felder im formular und versteckt sie. allerdings nicht mit dem hidden-attribut, sondern per css (display: none). sollten die felder ausgefüllt werden, ist wohl was faul. ;)[/quote]
Nur eben mit Felder nicht mit display:none verstecken, sondern irgendwo hinschieben....
Ich mach's so:
Session mit eideutiger ID erzeugen + genau diese ID in einem Hidden-Feld ins Formular packen. Bei der Verarbeitung der Daten 1) Session und 2) Form-Request vergleichen.
ich machs eigentlich immer so, wenn jemand auf die seite kommt (kontakt.php - wo halt das form ist) wird seine ip in ne db/datei geschrieben. dann wird in der 2. datei (also wo die mail verschickt wird) gekuckt ob die IP da drin ist, wenn nicht stimmt irgendwas nicht -> mail wird nicht verschickt. wenn ja wird mail verschickt und IP gekillt.
über referer usw is mir alles zu unsicher, was is wenn jemand refs aus hat oder css aus, die input felder doch angezeigt werden usw usw usw ... das mit der ip is wenigstens was die fehlerquote angeht, ziemlich sicher (außer jemand fliegt genau zwischen besuch der seite und klick auf "abschicken" ausm netz .. aber dann shit happens.)
mfg
achso, also im ersten schritt wird irgendwo anders auf der seite die ip gespeichert?
klingt interessant ... aber was innem blog wo man auch ma per direktlink auf den blogeintrag antwortet, da geht das leider auch nich, aber auf jeden fall ne gute idee
jo klar, aber fürn "normales" formular reichts allemal. und die werden ja langsam auch zugespammt -.-
ja genau, also is denn grade für gästebücher oder formmailer ne gute variante den spam auszuschliessen, was aber echt nervt is das ding an sich.
Was ma gut wär, wär ne Seite wo man diverse filter oder sonstwas runterladen kann - oder auch aktuelle htaccess filter die von usern gesammelte spam ips/referer/user agents ausschliesst ... gibts zwar schon aber alle nich so wirklich praktikabel
für mich hat sich die "angezeigten code wiederholen"-methode bewährt. in meinen augen das derzeit effektivste.
Thomas: Redest Du von Captchas?
BTW: Ich hab da neulich von einer "schriftliche addition"-methode gelesen. Beim Absenden muss eine kleine Rechenaufgabe gelöst werden...
Zitat:Ich mach's so:
Session mit eideutiger ID erzeugen + genau diese ID in einem Hidden-Feld ins Formular packen. Bei der Verarbeitung der Daten 1) Session und 2) Form-Request vergleichen.
Das ist auch meins.
CAPTCHA oder Rechenaufgabe? Ich würde die Rechenaufgabe bevorzugen. Kann auch in der Sehstärke geschwächter erledigen. Imho ist das bei Kontaktformularen aber nicht notwendig.
Gibts noch weitere Ansätze zum einen zur Prüfung ob die Daten vom eigenen Formuar kommen, zum anderen ob ein Mensch das Formular ausfüllt?
Was ich noch bei Diversen wordpressen gesehen habe: ein Feld mit exaktem Wert ausfüllen lassen, beispiel bei http://freakshow.blindcow.org
http://www.drweb.de/weblog/weblog/?p=534
Im Moment habe ich mal diese Lösung ausprobiert:
http://www.abi-erkrath.de/post.asp
Auch mit einer Session als Datenspeicher gelöst. Die Funktion erlaubt es, eine beliebige Anzahl an Zeichen zu erzeugen, die exakt eingegeben werden müssen!
update:
das bisher cleverste was ich gesehen hab:
http://blog.9elements.com/ :D
Seitentitel: Kommts von meinem Formular?