php - Ideer til formmail spamsikring. - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #8860 @ 09.08.07 12:51

Hej allesammen!

Jeg har lavet en kontaktformular i PHP/HTML. Jeg vil høre om nogle af jeg har nogle ideer til at gøre den mere spamsikker.

Relevant HTML:

Kode

<form method="post" action="cForm.php">
 <input type="text" name="name" maxlength="50" />
 <input type="text" name="email" maxlength="50" />
 <input type="text" name="emne" maxlength="50" />
 <textarea name="besked" rows="10" cols="40"></textarea>
 <input type="submit" value=" Send mail " name="submit" />
</form>

Relevant PHP:

Kode

if (isset($_POST['submit']))
{
 if (
 !empty($_POST['name']) && 
 !empty($_POST['email']) &&    
 !empty($_POST['emne']) &&  
 !empty($_POST['besked']) &&  
 !strpos($_POST['name'], "mitdomæne.dk") &&  
 !strpos($_POST['email'], "mitdomæne.dk") && 
 !strpos($_POST['name'], "@") &&			
 !strpos($_POST['name'], "#") &&			
 !strpos($_POST['name'], "£") &&			
 !strpos($_POST['name'], "¤") &&			
 !strpos($_POST['name'], "$") &&			
 !strpos($_POST['name'], "%") &&			
 !strpos($_POST['name'], "&") &&			
 !strpos($_POST['name'], "/") &&			
 !strpos($_POST['name'], "{") &&			
 !strpos($_POST['name'], "(") &&			
 !strpos($_POST['name'], "[") &&			
 !strpos($_POST['name'], ")") &&			
 !strpos($_POST['name'], "]") &&			
 !strpos($_POST['name'], "=") &&			
 !strpos($_POST['name'], "}") &&			
 !strpos($_POST['name'], "1") &&			
 !strpos($_POST['name'], "2") &&			
 !strpos($_POST['name'], "3") && 			
 !strpos($_POST['name'], "4") && 			   
 !strpos($_POST['name'], "5") &&
 !strpos($_POST['name'], "6") && 			
 !strpos($_POST['name'], "7") && 			
 !strpos($_POST['name'], "8") && 			
 !strpos($_POST['name'], "9") && 			
 !strpos($_POST['name'], "-") && 			
 !strpos($_POST['name'], ".") && 			
 !strpos($_POST['name'], ",") && 			
 !strpos($_POST['name'], ";") && 			
 !strpos($_POST['name'], ":") && 			
 !strpos($_POST['name'], "*") && 			
 !eregi("\\r",$_POST['name']) &&  			
 !eregi("\\n",$_POST['name']) &&  			
 !eregi("\\r",$_POST['email']) && 			
 !eregi("\\n",$_POST['email'])) &&   			
 !ereg("^.+@.+\\..+$",$_POST['email'])) && 		
 preg_match('/^[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+(?:\\.[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+)*\\@[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+(?:\\.[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+)+$/i', $_POST['email']))
//Herfra sendes mailen...

Da serveren kører Win, kan jeg desværre ikke bruge

Kode

checkdnsrr

Hvis der returneres FALSE et sted i ovenstående bliver man sendt til en fejlside, hvor der står at IP'et er logget. Jeg regner med noget lign. det her:

Kode

<p>En fejl er opstået. Af sikkerhedsmæssige årsager, er din IP-addresse <b>
<?php echo ".getenv("REMOTE_ADDR")."; ?>
</b> blevet indskrevet i loggen.

Nogle der har forslag til forbedringer?

Indlæg senest redigeret d. 09.08.2007 13:05 af Bruger #8860

6 svar postet i denne tråd vises herunder
4 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #8845 @ 09.08.07 14:44

du kunne bruge captcha, som laver et billede, hvor brugeren skal skrive de bogstaver eller tal som er i billedet.

Google kan finde et par tutorials hvis du vil lære hvordan man gør:
http://www.google.dk/search?hl=da&rlz=1T4GGIC_enDK219DK219&q=captcha+php+tutorial&meta=

Bruger #4683 @ 09.08.07 15:47

183

Hej allesammen!

Jeg har lavet en kontaktformular i PHP/HTML. Jeg vil høre om nogle af jeg har nogle ideer til at gøre den mere spamsikker.

Relevant HTML:

Kode

<form method="post" action="cForm.php">
 <input type="text" name="name" maxlength="50" />
 <input type="text" name="email" maxlength="50" />
 <input type="text" name="emne" maxlength="50" />
 <textarea name="besked" rows="10" cols="40"></textarea>
 <input type="submit" value=" Send mail " name="submit" />
</form>

Relevant PHP:

Kode

if (isset($_POST['submit']))
{
 if (
 !empty($_POST['name']) && 
 !empty($_POST['email']) &&    
 !empty($_POST['emne']) &&  
 !empty($_POST['besked']) &&  
 !strpos($_POST['name'], "mitdomæne.dk") &&  
 !strpos($_POST['email'], "mitdomæne.dk") && 
 !strpos($_POST['name'], "@") &&			
 !strpos($_POST['name'], "#") &&			
 !strpos($_POST['name'], "£") &&			
 !strpos($_POST['name'], "¤") &&			
 !strpos($_POST['name'], "$") &&			
 !strpos($_POST['name'], "%") &&			
 !strpos($_POST['name'], "&") &&			
 !strpos($_POST['name'], "/") &&			
 !strpos($_POST['name'], "{") &&			
 !strpos($_POST['name'], "(") &&			
 !strpos($_POST['name'], "[") &&			
 !strpos($_POST['name'], ")") &&			
 !strpos($_POST['name'], "]") &&			
 !strpos($_POST['name'], "=") &&			
 !strpos($_POST['name'], "}") &&			
 !strpos($_POST['name'], "1") &&			
 !strpos($_POST['name'], "2") &&			
 !strpos($_POST['name'], "3") && 			
 !strpos($_POST['name'], "4") && 			   
 !strpos($_POST['name'], "5") &&
 !strpos($_POST['name'], "6") && 			
 !strpos($_POST['name'], "7") && 			
 !strpos($_POST['name'], "8") && 			
 !strpos($_POST['name'], "9") && 			
 !strpos($_POST['name'], "-") && 			
 !strpos($_POST['name'], ".") && 			
 !strpos($_POST['name'], ",") && 			
 !strpos($_POST['name'], ";") && 			
 !strpos($_POST['name'], ":") && 			
 !strpos($_POST['name'], "*") && 			
 !eregi("\\r",$_POST['name']) &&  			
 !eregi("\\n",$_POST['name']) &&  			
 !eregi("\\r",$_POST['email']) && 			
 !eregi("\\n",$_POST['email'])) &&   			
 !ereg("^.+@.+\\..+$",$_POST['email'])) && 		
 preg_match('/^[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+(?:\\.[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+)*\\@[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+(?:\\.[^\\x00-\\x20()<>@,;:\\\\".[\\]\\x7f-\\xff]+)+$/i', $_POST['email']))
//Herfra sendes mailen...

Da serveren kører Win, kan jeg desværre ikke bruge

Kode

checkdnsrr

Hvis der returneres FALSE et sted i ovenstående bliver man sendt til en fejlside, hvor der står at IP'et er logget. Jeg regner med noget lign. det her:

Kode

<p>En fejl er opstået. Af sikkerhedsmæssige årsager, er din IP-addresse <b>
<?php echo ".getenv("REMOTE_ADDR")."; ?>
</b> blevet indskrevet i loggen.

Nogle der har forslag til forbedringer?

Jeg har en enkelt kommentar til din if-sætning, som jeg synes er ret ukøn - af flere grunde.

- den er stort set umuligt at danne sig et overblik over
- den kan ikke umiddelbart genbruges, som f.eks. en funktion der validere
- den vil ikke virke i alle tilfælde idet den returnere positionen for det match den finder. Derfor, hvis jeg lavede name til "@jesper", ville den blive godkendt fordi 0 evalueres til false. Du bør bruge === ved denne funktion - hvilket gør if-sætningen endnu grimmere

Jeg ville bruge en white-list til at godkende dine data, altså undersøge om der er andre tegn end a-zA-Z - eller hvad du nu vil.

Jeg kan også tilslutte brugen af captcha som nævnes herover

Indlæg senest redigeret d. 15.08.2007 15:57 af Bruger #4683

Bruger #11386 @ 10.08.07 14:35

503

I stedet for en captha med billede kun du lave et random regne stykke, hvor man skal angive svaret

Hvis det er et billede regnestykke tror jeg ikke de fanger den, men hvis det er tekst gør de.

Det har jeg selv erfaret

Bruger #6559 @ 12.08.07 15:02

843

Nej ikke et billede med et regne stykke. Lave et check f.eks.

Kode

* Sikkerheds tjek *
(Random) tal1 + (Random) tal2 = ?? (Indtastningsfelt)
1 + 1 = ??

Bruger #6559 @ 09.08.07 21:31

843

I stedet for en captha med billede kun du lave et random regne stykke, hvor man skal angive svaret

Bruger #11386 @ 12.08.07 18:23

503

Jeg har bare selv erfaret at de kan læse og regne det stykke ud når det er tekst.

Ideer til formmail spamsikring.

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler