Witam

Projektuję, na razie czysto teoretycznie, sposób walidacji tekstu z obrazka, przy określaniu czy użytkownik nie jest botem

Pomysły jakie mam na razie:
1.) Serwer generuje pięcioznakowy kod
2.) Posyła do usera stronkę, z polem na wpisanie kodu i polem hidden, zawierającym:

[PHP] pobierz, plaintext 
<?php
$hidden_input = md5($kod_do_wpisania . "blablabla");
?>
[PHP] pobierz, plaintext 

3.) User wklepuje tekst i wysyła na serwer, razem z hiddenem.
4.) Na serwerze następuje sprawdzenie

[PHP] pobierz, plaintext 
<?php
if(md5($_POST['key_typed'] . "blablabla")==$_POST['hidden_input'])
{
	echo "Witaj człowieku";
}
else
{
	echo "Spadaj bocie";
}
?>
[PHP] pobierz, plaintext 

Wbrew pozorom ten algorytm jest bezpieczny: Nie znając owego ciągu znaków (czyli "blablabla" - a on nie jest nigdy przesyłany do usera), haker nie może podrobić takiego pola hidden, żeby pasował do tego, co wpisze jego bot w główne pole.

I to jest dla mnie jasne.

Problem zaczyna się wtedy, kiedy muszę wygenerować grafikę z kodem. Muszę do pliku php posłać link z przylepionym odpowiednią wartością GET. Jest z tym problem, mianowicie mój skrypt nie może korzystać z bazy danych, ani zapisywać nic do pliku, czyli do pliku php generującego grafikę, muszę posłać ów pięcioznakowy kod. Pytanie - jak to zrobić, żeby user nie zdołał go przechwycić?

Może trochę zagmatwałem, więc postaram się wyjaśnić:

User ma już stronę do wklepania, na której znajduje się obrazek

[HTML] pobierz, plaintext 
<img src="obrazek.php?kod=XXX">
[HTML] pobierz, plaintext 

Pytam się, jak przez wartość XXX posłać kod do skryptu "obrazek.php" tak, żeby user nie był w stanie jej przechwycić

Muszę przyznać że myślałem sam nad tym rozwiązaniem i jedynym pomysłem, jaki przyszedł mi do głowy, jest wykorzystanie algorytmu blowfish (sekretny ciąg znaków byłby znany zarówno dla pliku głównego php, jak i tego, który generuje grafikę). Nie wiem jednak, jaką funkcją php można zaimplementować dwustronne (chodzi o możliwość odkodowania informacji, gdy znany jest jej unikalny ciąg znaków, użyty do kodowania) kodowanie blowfish.

hmm, obrazek możesz poddać mod_rewrite żeby był link typu <img src="kodzik.jpg" /> a w rzeczywistości skrypt.php?kod=XXX

ewentualnie wykorzystac sesje do przechowania informacji o kodzie.

Nie chcę sesji, nie chcę mod_rewrite.

Chcę zakodować pięcioznakowy kod w XXX tak, by skrypt generujący obrazek mógł go zdekodować, ale haker, który ogląda tą stronę już nie

Ale nie prościej użyć sesji? wszystko będzie po stronie serwera i haker tego nie odczyta, wg mnie to najlepszy sposób...

Ps. nie wiem dlaczego tak się przed tym bronisz...

Niestety, fakt nie używania sesji nie zależy ode mnie. Prosiłbym bardziej o jakieś odpowiedzi na temat Może tak: Wiesz, jak używać w php algorytmu blowfish?

Nie używałem nigdy tego, ale znalazłem coś takiego: http://www.koders.com/php/fidBE302167DA8C6...aspx?s=blowfish

Byłoby to to o co mi chodzi, gdyby fakt że zachowuje się dość dziwnie :/

Ustawiłem metodę setKey na jednej stronie, zakodowałem ciąg znaków, a potem go odkodowałem. No dobrze, działa. A teraz wstawiłem oba do osobnych plików. Efekt? Z nonsensu wyszedł nonsens. Nawet dwukrotne wywołanie metody setKey z idendtycznym parametrem powoduje, że skrypt nie umie zdeszyfrować tego, co zakodował. Poza tym raczej nie widzę praktyczności linków w postaci "skrypt.php?key=­9Ő�4h¤"

Niemniej, dziękuję za zainteresowanie

Zamiast ułatwiać życie, utrudniasz je sobe. Walidacje obrazkami robi się za pomocą biblioteki GD i sesj. Tu masz klase z użyciem tego. Możesz użyć ją u siebie w skrypcie. A i polecam Ci przeczytanie jeszcze tego lub/i tego.

A i zawartość pola hidden można łatwo odczytać, więc dodawanie czegoś przez pole hidden jest mało bezpieczne. Lepiej już przez zmienne w php.

Skoro podajesz zdekodowaną wartość (w obrazku) i jej zakodowany odpowiednik, i nie jest to funkcja haszująca to jakim prawem twierdzisz, że "haker" odpowiedniego nie może napisać bota??

Używaj sesji!

tak, tylko że do utworzenia zakodowanego odpowiednika potrzeba znać ciąg znaków, który jest znany tylko dla serwera (nie jest przesyłany do usera w żadnym miejscu). Tak więc haker nie może sobie sfałszować obu inputów - hiddena i textboxa.

Pole hidden może być odczytane, mnie to zwisa. Nie ma to żadnego znaczenia jeżeli chodzi o bezpieczeństwo skryptu

Gdybym mógł skorzystać z sesji nie byłoby problemu. Wiem jak to zrobić. Pytam się - co robić, jeżeli z sesji/bazy danych (także tekstowej) korzystać nie mogę?

Czemu nie może ? Patrzy w kod, kopiuje kod, zapisuje i już ma.

Ma. Przecież sprtny BOT dojdzie do wartości (value) w polu hidden, wczyta go w pole do wpisania kodu i doda 100000.... danych więc to nie ma sensu bo to żadne zabezpiecznie. Gdy używasz sesj, odczytać kodu nie można, więc jest to dużo bezpieczniejsze.

Nie może, skoro pole hidden jest zahashowane md5 i to nie w sposób "czysty"

hmmmm...
skoro do obrazka przekazujesz w getcie zakodowany ciąg nie funkcją haszującą, bo skrypt nie mógł by jej odczytać. A na obrazku masz podany ten ciąg tylko, że zdekodowany. To "haker" po kilku analizach. Będzie wiedział jak kodujesz parametr get i stworzy pięknego bota.

Kwestia zrobienia bota o ktorym mowicie to pol godziny roboty