Hej,
luźny temat z pytaniem co myślicie to tej małej klasie:
Jej zadaniem ma być sprawdzenie jeszcze w bootstrapie czy akcje zadań są wykonywane przez usera a nie bota itd.

[PHP] pobierz, plaintext 
/**
* @author  Spawnm
* @license  New BSD License
*/
class security_request
{
    /**
     * @param array $data
     */
    public function initGET(array $data)
    {
        if($_GET){
            foreach($data as $key){
                if( isset($_GET[ $key ] ) && !isset($_SERVER['HTTP_REFERER'] )){
                    throw new Exception('initGET: security failed.');
                }
                if( isset($_GET[$key]) && !$this->refererIsLocal() ){
                    throw new Exception('initGET: security failed.');
                }
            }
        }
    }
 
    /**
     * @return bool
     */
    public function refererIsLocal()
    {
         $host = parse_url($_SERVER['HTTP_REFERER']);
         $host = $host['host'];
         $local = $_SERVER['HTTP_HOST'];
         return ($host === $local )? true : false;
    }
 
    /**
     * @param array $data
     */
    public function initPOST(array $data)
    {
      if($_POST){
            foreach($data as $key){
                if( isset($_POST[ $key ] ) && !isset($_SERVER['HTTP_REFERER'] )){
                    throw new Exception('initPOST: security failed.');
                }
                if( isset($_POST[$key]) && !$this->refererIsLocal() ){
                    throw new Exception('initPOST: security failed.');
                }
            }
        }
    }
 
}
[PHP] pobierz, plaintext 

Demo:

[PHP] pobierz, plaintext 
$sec= new security_request();
$sec->initGET(array('delete', 'edit', 'add'));
$sec->initPOST(array('add', 'edit', 'id',  'captcha'));
[PHP] pobierz, plaintext 

Ja to specjalistą od php nie jestem i na pewno nie dorastam Ci do pięt, ale czy te informacje nie są łatwe do podrobienia? Bota można łatwo napisać curl'em, dodać odpowiednie nagłówki i inne pierdołki, czy wtedy Twoja klasa nie mija się z przeznaczeniem?

Możliwe, dlatego powstał ten temat
Liczę na wasze opinie i rady.

Nie obstawiał bym by dało się wyciąć wszystkie boty które chcą nam namieszać nie utrudniając życia userom, a w szczególności jak sami udostępniamy jakieś api. Jak dla mnie to co pokazałeś jest tylko pierwszym i to malutkim krokiem, nie wiem jaki powinien być następny, ale sprawdzanie ilości operacji strategicznych i zapisywanie ich czasu i maszyny proszącej o wykonanie jej i wycinanie tych które chcą za dużo np. zmiana passów co sekundę, logowanie 10 krotne w ciągu minuty itd powinno pomóc. Temat rzeka i raczej każda możliwość to tylko utrudnienie akcji a nie jej uniemożliwienie - czasem zachodzi pytanie czy jest sens walczyć o wycięcie tych kilku procent lub setnych atakujących nie znających się na podanie nagłówków i zatrudnianie serwera do sprawdzania całej reszty poprawnych żądań.

Każde zabezpieczenie jest dobre.Jestem laikiem w porównaniu do Pana,ale próbował bym jeszcze przefiltrował porty do tego poprzez:
$_SERVER['REMOTE_PORT']
jako dodatkową metodę.
Nie wiem czy coś to da,ale

public function refererIsLocal()
{
$host = parse_url($_SERVER['HTTP_REFERER']);
$host = $host['host'];
$local = $_SERVER['HTTP_HOST'];
$_SERVER['HTTP_ACCEPT']=$local;
return ($host === $local )? true : false;
}

Może już,nie będę mieszał,fajna klasa,można ją rozbudować o dodatkowe metody.

Czyli jeżeli wyłączę sobie wysyłanie nagłówka Referer, to mam pochodzone po stronie? Rzucanie wyjątku klasy Exception, dublowanie kodu, bezsensowne nazewnictwo i kod (ma wywalić wyjątek jeżeli pojawi się element, którego się spodziewam?) czy tworzenie obiektu, który na dobrą sprawę jest funkcją pomijam.

Aha, a to czym powinieneś się zainteresować to atak typu CSRF.

Przyglądam się temu listingowi od kilku minut i nie mogę wyjść z podziwu dla ilości bezsensownego kodu, który się w niej znajduje. Spawnm, czy w ogóle zastanowiłeś się nad tym, co chcesz osiągnąć, a co napisałeś? Może się zdziwisz, ale cała ta Twoja powyższa klasa jest równoważna... dwóm ifom:



Na co Ci te tablice i pętle w środku, kiedy one absolutnie niczemu nie służą? Przecież ten problem jest zupełnie niezależny od tego czy określone pole w $_POST/$_GET istnieje czy nie. Powiem nawet więcej: jeśli dwa pola istnieją, to sprawdzasz w kółko pierdylion razy ten sam warunek, o którym już wiesz, że jest prawdziwy, bo jakby był fałszywy, to by się przy pierwszej iteracji już wysypał.

Osobną kwestią jest sensowność założeń samego zabezpieczenia. Zabezpieczeń nie projektuje się w ten sposób, że myślisz sobie "chcę się zabezpieczyć przed botem", a później wymuszasz na użytkowniku konieczność istnienia losowo wybranego przez Ciebie nagłówka HTTP (w tym przypadku Referer). Co komu szkodzi napisać bota, który ma referera? Co zwykłemu użytkownikowi szkodzi takowy wyłączyć? Pomyślałeś o tym? Chyba nie. Nieuczciwych botów nigdy nie wytniesz, a uczciwym wystarczy plik robots.txt. Bezsensowne jest też użycie programowania obiektowego w tym miejscu i w takiej formie.

Wiem, dziś się obudziłem z podobną myślą.
Ale wczoraj wieczorem wyglądało to jakoś sensowniej i ciekawiej

Mi zawsze radzili tak, jak coś napiszesz i będzie Ci się podobało, to odstaw to, prześpij się i zobacz ponownie następnego dnia hehe