Zgodnie z MVC zabezpieczenie typu Captcha powinno byc sprawdzane w Modelu czy Kontrolerze?

W kontrolerze. Captcha odpowiada za sterowanie: autoryzowanie dostepu lub jego brak. Nie ma specjalnie duzo wspolngo z danymi.

Jak to nie ma wiele wspólnego z danymi? Captha powinna być sprawdzana przy walidacji danych przesłanych z formularza do zapisu - czyli w modelu.

moze to troche przerost formy nad trescia, ale jesli masz dosc rozbudowany system i chcesz w jakis dosc elastyczny sposob zeimplementowac CAPTCHA, to ja bym to w "ostatecznej formie ewolucji" widzial tak, ze masz klase kontrolera do captchy, zupelnie odseparowana od samego przetwarzania danych i w modelu masz najpierw odwolanie do metody kontrolera CAPTCHA i w zaleznosci o jego rezultatow podejmujesz kolejne kroki innych klas, ale to jest tak jak juz powiedzialem wersja dosc rozbudowana, takze w mniejszych ujeciach moze stanowic wspomniany "przerost formy nad trescia".

Ale captchy nie skladujesz dluzej niz moment po wygenerowaniu - nie jest Twoja dana skladowana jak np. tresc artykulu czy dane uzytkownika.

Tak na moje oko, to zależy od upodobań. Powinna być sprawdzana tam, gdzie dane użytkownika, najlepiej na samym początku. Jako, że jest to raczej zabezpieczenie, to powinno być odseparowane od pozostałych danych. Dla przykładu: Załóżmy, że mamy klasę walidującą dane

[PHP] pobierz, plaintext 
<?php
$modelValidator=new ModelValidator();
$modelValidator->addTrueFilter($captcha); // taki twór, który wymusza, aby $captcha miała metodę validate() zwracającą booleana
$modelValidator->validate($model);
?>
[PHP] pobierz, plaintext 

Captcha jest teraz dołączana do walidacji, ale nie jest związana z modelem, bo i z jakiej racji? Mogę sobie zażyczyć, aby kliknięcie w link pokazujący jakąś treść było poprzedzone sprawdzeniem użytkownika. Nie ma tu wówczas modelu danych - jest tylko żądanie, którego warunkiem wykonania jest poprawnie wpisany kod. Jest to wówczas bardziej związane z autoryzacją.
Na pewno nie powinno to zostać wmieszane w sam model danych.

Pozdrawiam.

To powiem tak, ja to widze w ten sposob (na przykladzie Cake):
Stworzylem sobie komponent Captcha, ktory implementuje w Kontrolerze.
Poniewaz captcha wystepuje w tym przypadku przy formularzu (dowolnym), wiec najpierw waliduje pola z formularza, a na koncu pole typu captcha, wyglada to mniejwiecej tak w modelu:

[PHP] pobierz, plaintext 
<?php
class Model extends AppModel
{
	var $validate = array(
			   'kod' => array(
					   'rule' => array( 'userDefined', 'Model', 'captcha' ), // czyt. wlasna funkcja w modelu 'Model' metody 'captcha'
					   'message' => 'Niepoprawny kod!' ) );
 
	   function captcha( $check )
	   {
			   // tutaj chcialbym porownac $check (wartosc pola 'kod' z formularza)
			   // z zarejestrowanym w sesji kodem, chcialo by sie uzyc:
			   // $this -> Session -> read( 'captcha );
			   // dostep jest jednak z modelu zabroniony do sesji
			   if( $check == $wartosc_session )
			   {
					   return true;
			   }
			   else
			   {
					   return false;
			   }
	   }
}
?>
[PHP] pobierz, plaintext 

Uzyc w Modelu wbudowanej obslugi sesji nie moge. Zawsze jest rozwiazanie z uzyciem tablic $_SESSION ale to chyba nie tedy droga?

Wiec jak to rozwiazac?

Wydaje mi sie ze captcha poprostu powinna byc sprawdzana jak inne dane formularza, czyli w modelu...

Captcha powinno być sprawdzane tam gdzie następuje walidacja. Jeżeli framework waliduje w modelu - zrób to w modelu. Jeżeli walidacja jest transparentna (np w plikach konfiguracyjnych) - zrób to tam.
Nie chodzi o upodobania, tylko o narzędzia

Ja korzystam z Agavi. Tam walidacja jest ustawiana w pliku XML. Dopisałem sobie walidator captchy - jeżeli sie nie zgadza - rzuca błędem walidacji, jeżeli jest okay to dane z formularza trafiają do kontrolera i captchą nie przejmuje się w ogóle (nawet nieraz usuwam z danych z formularza).

Ja tez uwazam ze w Modelu, pytanie teraz jak rozwiazac dostep z modelu do sesji (w Cake oczywiscie)?