Zdravím,
doufám, že toto téma zde ještě nebylo projednáváno, jestli ano, tak se omlouvám.

Máme následující problém:
Na stránkách potterharry.net máme phprs 2.6.5 a přidávají se nám stovky komentářů s odkazy na levný nákup viagry, online casina.. znáte to. Jak ochránit, aby to nešlo?
Jako vzor dávám tento článek: [http://potterharry.net/view.php?cisloclanku=2005010702] s 1084 komentáři ;)


Díky za případnou pomoc

Milo

Možná To je moc primitivní rada, ale ve svém pluginu intforum mám funkci, která mi před uložením do databáze prohlédne, jestli se v textu nevyskytuje některé ze slov, která má ve "slovníkovém" souboru a pokud ano, tak se do databáze neuloží. Je samozdřejmě nutné do toho souboru nacpat příslušná slova, která se vyskytují v těch spamových komentářích. Pokud na Vašem webu nepotřebujete mít v komentářích odkazy, tak takové užitečné slovo je: "href" čímž by se zrušila možnost vkládat jakýkoliv komentář s odkazem. (což jsou asi všechny ty, co nechcete) Nicméně by si odkaz neuložil ani nikdo jiný....
Ale koukám, že tam máte vkládání hyperlinků přes [url][/url] tak by to možná šlo vsunout dříve, nežli se to [url][/url] převádí na normální odkaz. Tak by běžné odkazy zůstaly zachována a ty spamové ne.

jinak se tam můžou vložit slova jako casino equipment adipex Thanks! ... a tak dále. Lze tím zkontrolovat i jiná pole, nežli text, protože tam máte řadu odkazů v poli autor. Možná by to alespoň pokleslo, a pokud by se nějaké objevovaly dále, jde tam ty slova postupně přidávat. Dal jsem si to i například do inzerce.
stačí tu funkci přidat někam do souboru, který zajištuje vložení komentářů a do místa kde se vkládá do databáze udělat podmínku.
Nevýhoda je popsána nahoře. Musí se ručně vytvořit ten soubor se zakázanými slovy (jejich jedinečné části postačí) a občas to nedovolí někomu hodnému vložit jeho komentář, pokud tam bude mít náhodou stejné slovo. Pokud by jste měl zájem (a neobjevil se nějaký sofistikovanější návod), napište. Nebo si stáhněte poslední verzi interního fora a tam si to nějděte.
Kristian(tecka)vrhel(kyselarybka)seznam(tecka)cz

ono tento spam byva dost casto chybou poskytovatela, pretoze si nevie dobre zabezpecit server.
priklad uvediem moju knihu navstev. na mojom skusobnom webe (host.sk) bezi najdlhsie z pomedzi vsetkych a zatial som nemal ziaden spam, zatial co som videl na inych adresach ako sa veselo pridava.

ochrana proti tomu nieje taka jednoducha. niekde pomozu regularne vyrazy (u mna pomohli), nejake postupy pri pridavani a overovani vyplnenych udajov a podobne.

docasne zaberie moznost, ked sa zmenia nazvy <input>. to ale bude treba aj prepisat nazvy pred zapisom do DB

____________________
smiko.host.sk/phprs/

v celom comment.php
prepis tieto hodnoty:

<p align=\"center\"><input type=\"submit\" name=\"pridej\" value=\" ".RS_ODESLAT." \" class=\"tl\" style='display: none;' />

na

<p align=\"center\"><input type=\"submit\" name=\"pridej\" value=\" ".RS_ODESLAT." \" class=\"tl\" style='display: none;' />
<p align=\"center\"><input type=\"submit\" value=\" ".RS_ODESLAT." \" class=\"tl\" />

a nasledne vsade prepis kde sa nachadza toto:

// pridani komentare
@$error=phprs_sql_query($dotaz,$GLOBALS["dbspojeni"]);

na toto:

if (!isset($_POST["pridej"])) {
// pridani komentare
@$error=phprs_sql_query($dotaz,$GLOBALS["dbspojeni"]);
}

Spam je taky blby, ze bude klikat na prve submit tlacidlo, lenze podmienka sa vykona vtedy, ak sa na to tlacidlo "pridej" neklikne
tento domyselny navod napisal Jakub Vrana, za co mu dakujem :)

a tymto chcem apelovat na Jirku Lukasa, ze by bolo dobre prepisat vsetky formularove GLOBALS na $_POST a $_GET. je to kvoli bezpecnosti

____________________
smiko.host.sk/phprs/



Celkem upraveno 2×. Poslední úprava smiko v 26.03.2006 12:41.

Doporučuju:
1) kontrolovat vyplnění polí (v tvém případě jsou, tedy marná pomoc)
2) nedovolit odeslat komentář např. do 5 vteřin od načtení stránky (pokládat to za spam)
3) zakázat jasně se opakující obsah komentářů (ať už slova, či celý obsah), to samé autorů (koukal jsem, že se ti tam přezdívky opakují)
4) pokud je nějaké IP neustále stejné, zabanovat dané IP (ale většinou je toto nejhorší postup, pže to jde přes několik lidí a ty IP jsou třeba i dynamické atd)
5) zkusit kontaktovat poskytovatele, jestli by s tím nemohl udělat (i pro svoje dobro)
6) pokud nic nepomůže, přidat ke komentářům potvrzovací kód (vážně až poslední možnost, akorát to návštěvníky otravuje)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

7) přistupovat k poměnným z komentářů přes $_POST ne přes $_GLOBALS (i když v tvém případě jsou asi formuláře vyplňovány) ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

musel som prepisat postup, ako sa to da lahko upravit, pretoze som editoval chybny riadok
takze navod som ti napisal hore

____________________
smiko.host.sk/phprs/

To co napsal smiko je sice svým způsobem účinné, ale co když bude mít člověk vypnuté styly? Je to sice minimum lidí, ale přístupnost webu je myslim si důležitější, než snadná obrana, hold to budeš muset řešit složitěji ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

xsuchy09 napsal/a:
-------------------------------------------------------
> To co napsal smiko je sice svým způsobem účinné,
> ale co když bude mít člověk vypnuté styly? Je to
> sice minimum lidí, ale přístupnost webu je myslim
> si důležitější, než snadná obrana, hold to budeš
> muset řešit složitěji ...

Tomu se možná dá částečně odpomoci tím, že tomu prvnímu tlačítku nedáš text "odeslat" ale třeba to "jsem robot" jako to má J.Vrána v té ukázce. Na to snad nikdo klikat nebude...

Tak potom by se mělo nastavit aj focus, protože takhle by byl focus na prvním z polí submit (a co by se stalo po odeslání formuláře enterem? :) ) ... a to je další věc, k tomu je potřeba javascript (který opět nemusí mít někdo zapnutý - spíše, než css) ... atd., atd.

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Xsuchy:
nestalo by sa nic, pretoze v textarea nefunguje onfocus, tam je enter ako novy riadok

Kryspin:
hej dalo by sa to tak, alebo tam napisat "tlacidlo kvoli spamu" to by tiez cloveka napadlo, ze nech tam neklika ale klidne na tlacidlo Pridat

____________________
smiko.host.sk/phprs/

smiko:
Samozřejmě, že v textarea je jako nový řádek, ale co když ten enter nepoužiju v textarea? Půjdu např. doplnit adresu webu po napsání myšlenek atd.? Nemůžeš počítat s tím, že ti každý bude pole vyplňovat dle tvého postupu a pořadí :)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

tak sa spravy to, ze sa sprava neodosle a refresne sa na rovnaku adresu s ustavajucimi hodnotami pola. tak potom to uzivatel skusi este raz kliknutim na tlacidlo Pridat ;)

____________________
smiko.host.sk/phprs/

a este, riesime tu veci uz mimo temu.
Prispevky typu, "co ked bude mat vypnuty JavaScript a CSS" povazujem za sucharske a maju len rozvirit flame.
JavaScript si vypinaju taki ludia, ktory su posrani z Internetu, pricom zaciatocnici a pokrocili si ich nechavaju zapnute. zaciatocnici nevedia ako to vypnut a pokrocili to nevypinaju, lebo vedia ako sa veci maju

dalej k tomu CSS. cely web je postaveny na CSS a nepoznam sialenca, ktory by to vypinal. dokonca aj Lynx (textovy prehliadac) ma velmi dobru podporu stylovania CSS.

preto tymto koncim prispevky o javascripte a css, lebo to nema cenu sa o tom dohadovat

____________________
smiko.host.sk/phprs/

Samozřejmě, ale to už je obtěžování a zdržování člověka :) enter by vždy měl znamenat správné odeslání hodnot (při správném vyplnění) ... to už je na přístupu každého z nás, je to samozřejmě také řešení, ale jsou i jiná, pro někoho schůdnější, pro někoho ne :)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Já počítám s jakýmkoliv návštěvníkem, nejsem zastánce vypnutých CSS a javascriptu, nejsem blázen :)) ale i s těmito návštěvníky počítám, tak se tak snažím i přemýšlet a tu otázku co kdyby si pokládám :)
konec OT, sry :)

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Aj ja sa snazim premyslat, preto nebudem prekopavat komplet cely script commnet.php ked viem, ze uprava bude len chvilkova, pretoze niesom vyvojar phpRS aby to tak mohlo ostat. preto je jednoduchsie a ucinne to spravit na minimum riadkov a zasahu do kodu.

takze rozmyslat viem ;)

____________________
smiko.host.sk/phprs/

ja jsem to chtel vyresit kontrolnim kodem ale nakonec jsem udelal celkem razantni rozhodnuti, ale pro nas dobre - komentovani pouze pro registrovane uzivatele. Byl to jen posledni krok, pac vsechno jsem postupne predelal jen pro registrovane.

Jiste bude hodne nesouhlasnych nazoru, ale stejne vetsina komentaru byla opravdu jen od registrovanych :)

Je mi jasne, ze uz HP to asi mozne nebude :)
Pokud chcete zavest kontrolni kod:
[http://programujte.com/view.php?cisloclanku=2005100301-Jak-vytvorit-obrazek-s-kontrolnim-kodem]

Komentovat pre registrovanych je moznost, ale je to velmi uzivatelsky neprivetive, pretoze su ludia (ja tiez), ktory chcu napisat nejaky komentar a koli jednej vete sa nebudem registrovat. pritom ten komentar moze byt uplne k veci, upozornuje na nejaku nezrovnalost a podobne.

dalej obrazkove opisovanie kodu (alebo hocijake textove) povazujem za najvacsiu blbost ktora je vytvorena na ochranu pred spamom. hoc je ucinna, uzivatelsky neprivetiva a sam som znechuteny z toho, ze odniekal musim opisovat kod furt dokola, len koli tomu, ze chcem prispiet svojou myslienkou

____________________
smiko.host.sk/phprs/

Osobne som ZA pre kontrolny kod, len pre neregistrovaných. Je to ideálne riešenie navyše neregistrovaným by sa mohla poslať cookie aby to pýtalo aj od neregistrovaných len raz. Pri dalších príspevkoch od nereg. by sa kód už zadávať nemusel. V kombinácii s časovým obmedzením pridania komentu by to bola asi celkom slušná ochrana, ktorá by až tak neprudila.