Форум PHP

Господа! Товрищи помогите пожалуйста решить проблему! Инетовские боты в гостевую регулярно не по одному разу за день кидают всякую фигню и рекламу в гостевушку! Как избавиться от напасти? Кстати гостевушка SoftTime!

Поставить на регистрацию защиту картинкой?

Эта тема уже не раз обсуждалась на этом форуме. Возможные пути решения:
1) самый надежный: вводить обязательную регистрацию. Только зарегистрированный участник может писать в гостевой.
2) делать капчу
3) делать пример типа 2+3
4) писать на картинке вопрос типа "какого цвета снег?" и ждать ответа (та же капча, вид сбоку)
5) делать ложное поле невидимое. Если оно заполняется, значит это бот. Если нет - значит не бот.

Вроде все припомнил.

Можно запретить посетителям оставлять URL, как сделали мы. Если такой вариант устраивает - можем поделиться кодом.

Я начисто отбил всех ботов, проверяя поля на наличие кириллицы. Но такое пойдёт только для русскоязычных сайтов.

Всмысле заперетить оставлять URL? Да кодик то пожалуй не помешал! Только вот если в тексте сообщения, то я и так все поравил, ну а также убрал дополнительные теги редактирования текста (веделение, подчеркивание ...)

<? $bot = "<br /><br /><br /><center><strong>Запрещена публикация ссылок</strong></center>"; $str = $_POST['text']; if (preg_match ("/href|http|www/i", $str)) { echo $bot; exit(); } ?>

как просто! а если боты шлют текст рекламы? а бывает так если запретить вывод ссылок боты сами отстанут? на некоторых сайтах ведь все нормально, а защит и нет! вот например у вас! только по ссылкам а ботов то нет!

а как реализовать определение по вводу в скрытом поле? и вообще как создать скрытое поле! это уже поинтереснее! а это эффективно?

Скрытое поле:

<input type='hidden' name='bottrap' value='gotcha' />

> это уже поинтереснее! а это эффективно?

Это просто один из методов профилактики от ботов. Но он не сильно надежный, потому как бот может игнорировать скрытые поля, если будете использовать, как написано выше.

Есть другой вариант: через JavaScript присваиваете полю visible=false.Тогда бот может это "проглядеть" и отправить поле, которого на самом деле пользователь видеть не должен. Вот он тогда и попался :) (правда, тут есть проблема с пользователями, у которых JavaScript отключен) Но опять же 100% защиты от таких приемов нет. Т.к. бот может и JavaScript прочитать и выяснить по ним, где скрытые поля находятся. Все зависит от того, на сколько серьезный бот. Но зато такие методы профилактики снизят эффективность работы ботов в целом, вопрос только на сколько.. =)

Любой нормальный бот НЕ БУДЕТ заполнять поле типа hidden. Нужно так:

<div style="display: none;">     Фамилия: <input type="text" name="surname" value="" /> </div>

Это поле выглядит так, как настоящее, если не считать того, что его не увидят нормальные юзеры.

Боты иногда под конкретные ресурсы пишут - не больно долго и сложно, если имеется бот другого ресурса...

Верно, display: none. Я с Delphi перепутал. =) Но смысл остается тот же.

Как уже сказал товарищ cheops, боты обычно пишутся конкретно под ресурс. По сему, если программист узрел в коде вашу строчку со скрытым DIV-ом или еще чем, то он ее опустит тоже, если будет такая необходимость. Или же бот просто не будет даже смотреть на элементы, которые спрятаны, не важно, <input /> это или <div>.

> Как уже сказал товарищ cheops, боты обычно пишутся конкретно под ресурс
cheops такого не говорил. Он сказал "иногда".

>а бывает так если запретить вывод ссылок боты сами отстанут? на некоторых сайтах ведь все
>нормально, а защит и нет! вот например у вас! только по ссылкам а ботов то нет!
У нас защита есть... и ботов тут было столько, что мама не горюй... Ботам нужны ссылки - это спамеры, которые получают деньги за раскрутку сайтов (чем больше ссылок, тем выше ТИЦ), поэтому если возможности оставлять ссылки не будет - они просто уйдут - им некогда возится со строптивыми гостевыми книгами - им заказы выполнять нужно.

PS Те жалкие единицы, которые помещают только ICQ - можно будет забанить по номерам ICQ, телефонов и т.п. Но их очень мало - раз в месяц может будет кто приходить и то навряд ли.

Вот как я сделал в скрипте обработки сообщения:

if(!eregi('^[а-яА-Я0-9_\-]+$',$message))exit;

И всё...

>Можно запретить посетителям оставлять URL, как сделали мы. Если такой вариант устраивает - можем поделиться кодом.
Поделитесь ;)

Собственно provodnik уже привёл, можно воспользоваться следующим решением

<?php     if(preg_match_all("|http://|is",$msg,$out_msg) > 0) exit(); ?>

>У нас защита есть... и ботов тут было столько, что мама не горюй... Ботам нужны ссылки - это спамеры, которые получают деньги за раскрутку сайтов (чем больше ссылок, тем выше ТИЦ), поэтому если возможности оставлять ссылки не будет - они просто уйдут - им некогда возится со строптивыми гостевыми книгами - им заказы выполнять нужно.

Поидее правильно думайте мне так попробовать? Только я их всеравно не понимаю они ссылки то пихают но они же не работают! Или вообще лучше запретить показ ссылок?

to PAUELL: Лучше запретить ботам вообще что-либо оставлять на своей странице..

>to PAUELL: Лучше запретить ботам вообще что-либо оставлять на своей странице..
я вот задумываюсь о защите картинкой! только вот самому не соорудить! где бы взять готовую? :\
хотя если никто не поможет с картинкой! то планирую наверно идентефикацию браузера проводитью думайте так получиться? или боты тоже могут идентифицироваться как браузеры?

Про картинку поищите по форуму - не раз обсуждалось. Только картинка - тоже не идеальный выход, боты и с ней умеют бороться.

А если сделать все по технологии Ajax? т.е. без загрузки страницы. Таким образом все боты начисто отпадают, поскольку фактически нет никакой отправки данных черех URL запрос, все идет прозрачно с участием XML запроса, к тому же большая скорость работы и практически моментальная работа.
Я сам лично использую несколько таких гостевых, все работает на "ура" и забыл что такое боты и начисто отпадает заботы об организации безопасности и защиты от ботов. Технология обычная PHP+MySQL+XAJAX

А можно тут по подробнее.(про технологию Ajax)

есть несколько распостраненных движков под Ajax, я сам использую Xajax весит немного и достаточно функционален. Принцип такой, что данные отправляются на сервер не методом HTTP запроса, а через JS и XML без перезагрузки страницы, этим достигается практически полная интерактивность и динамичность прилложений. Код пишется на PHP и добавляется в движок.

Предлагаю авторам форума разместить для примера мою статью с полным описанием разработки на Xajax простых примеров и гостевой книги на XAjax в разделе "статьи о PHP "

Хм... интересно, а где статья?

Статья на 9 листов, так что удобнее отправить на email

Согласен, интересно ознакомиться с такой возможностью построения сайта

Если не сложно отправьте её на softtime @ softtime.ru с указанием вашего ФИО.

Меня тоже заинтересовало! ВЫ случайно не опубликовали статью на сайте? Тоже почитать охота!

Почитайте возможно вас это заинтересует

http://www.securitylab.ru/contest/239642.php

Ну как справились с ботами? На мой взгляд самый простой способ(о нем пмсали выше) - не позволять оставлять ссылки.

Да я тоже так думаю! Я так и зделал! Жду результаты. Хотя они и так видны!
Всем спасибо.