Pełna wersja: [PHP] Timer- Formularz
Witam, prowadzę serwis z nagrodami (nie wnikajcie), otóż moi kochani użytkownicy robią boty do nich czyli w jQuery wypełnianie pól przez co bardzo szybko się rozchodzą, chciałem zrobić zabezpieczenie polegające na tym że jeśli użytkownik wypełnił 12 pól a nie minęło ok 15 sekund i wciśnie przycisk zamów to będzie owy napis czy include strony z informacją że konto zostało zablokowane czy coś, jak takie zabezpieczenie zrobić ?
sesja, ciastko, ip, wybieraj 
setTimeout() też się przyda.
Bota to nie powstrzyma szczerze mówiąc. Po prostu będzie miał sleep na tę 12 sekund. Jedyna opcja na bota to captcha (którą i tak można obejść)
Po pierwsze poczytaj o csrf (na słabe boty jak znalazł, ale bardzo słabe).
Po drugie captcha.
Po pierwsze poczytaj o csrf (na słabe boty jak znalazł, ale bardzo słabe).
Po drugie captcha.
Cały czas jest reCaptcha ... oni i tak botują ... wczoraj kumpel mi pokazał system anty-botowy i jeśli ktoś zamówi nagrodę poniżej 15 sek to konto zostaje "oflagowane" ...
jak to zrobić ...
jak to zrobić ...
Nie pokażesz jak to wygląda o możemy sobie co najwyżej zgadywać.
Utrudnij im życie na zasadzie:
-zmieniaj kolejność formularza (i losowo nazwy pól)
-dodaj tokena zabezpieczającego na zasadzie:
strona otwierana do sesji zapisuj:
do html dodaj
i po przesłaniu formularza sprawdzaj czy token z taką zawartością jest w sesji jeżeli tak to porównaj aktualny czas z zapisanym w tokenie jeżeli jest mniejszy niż te 15 sekund blokuj konto inaczej przepuszczaj i czyść tokena
Ps sprawdzenie tokena zrób przed kasowaniem starych
Utrudnij im życie na zasadzie:
-zmieniaj kolejność formularza (i losowo nazwy pól)
-dodaj tokena zabezpieczającego na zasadzie:
strona otwierana do sesji zapisuj:
do html dodaj
i po przesłaniu formularza sprawdzaj czy token z taką zawartością jest w sesji jeżeli tak to porównaj aktualny czas z zapisanym w tokenie jeżeli jest mniejszy niż te 15 sekund blokuj konto inaczej przepuszczaj i czyść tokena
Ps sprawdzenie tokena zrób przed kasowaniem starych
Najpierw niech poda adres email. Pod podany adres wyślij jakiś kod. Po wpisaniu danych wraz z kodem robisz to co powinno być wykonane.
(Przykład-> rejestracja na forum PHP-odzyskiwanie hasła)
(Przykład-> rejestracja na forum PHP-odzyskiwanie hasła)
Obejście tego zabezpieczenia 10 min przy użyciu serwisów typu niepodam.pl
W takim razie założę na forum PHP 2 000 kont. Myślę że administratorzy mają na to haka.
lobopol ty nie kombinuj jak nie rozwiązać sprawy tylko jak ją rozwiązać. Kombinuj jak poradzić sobie z niepodam.pl?
lobopol ty nie kombinuj jak nie rozwiązać sprawy tylko jak ją rozwiązać. Kombinuj jak poradzić sobie z niepodam.pl?
Tyle ile metod obrony, tyle samo metod na ich złamanie. Moja propozycja token+recaptcha/captcha obrazkowa+nieregularny formularz zawszę odrobinę różny od poprzedniego dodałbym do tego jeszcze logowanie ip i czasów wypełniania i na ich podstawie ewentualne blokowanie
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.