Sikkerhed i form

 <form action="whatever.php" method="post">
 <!-- Alle dine random inputs her -->
 
 <input type="text" name="message" id="messagebox"/>
 
 <!-- Din submit button her -->
 </form>

 <?php
 if($_POST['message']!="") {
 die("Spambot opfanget!");
 }
 //Normal kode her.

 #messagebox {
 display:none;
 }

Something like that. Bemærk jeg er ikke så garvet i HTML/PHP/CSS som jeg har været, så hver opmærksom på fejl og mangler. Den basiske idé er at du laver et ekstra input felt med et navn der kan tiltrække spambots ("message" fx) og så gemmer du det med CSS så dine normale brugere ikke ser feltet. Så før du processerer dine inputs på server siden, tjekker du om feltet virkelig er tomt. Hvis feltet er tomt bør du kunne gå ud fra at det var en bruger der indsendte formularen, hvis der er indhold (ligegyldigt hvad) er det højst sandsynligt en bot. Bot's læser ikke CSS sidst jeg tjekkede, måske en skønne dag de vil. Men for nu skulle det holde det værste væk.


Udvidet forklaring:
Grunden til at det kan virke er at spam bots for effiktivtet og simplicitet bare downloader din bagvedliggende HTML kode og finder alle tænkelige formulerer (eller går efter dem med specielle navne som "message" eller "comment" osv) og så indsender de POST dataene direkte til din server uden om nogle som helst browsere. Dvs din side bliver aldrig renderet hos spambotten, og derfor kan den ikke se at det felt den er ved at sende ind, faktisk slet ikke bliver vist til brugeren.
Normale brugere ser jo ikke feltet og kan derfor ikke udfylde det, ved mindre de skulle bruge en browser der ikke understøtter CSS men det er jo ret usandsynligt.

Prøv at kigge på ReCaptcha

Den kan sikre dig imod Spam botter, hvis det er det du ønsker

Nu kender jeg ikke lige resten af koden, men kan ikke helt forstå hvorfor du henter security_code fra session ? Bliver det lagret i sessions ved login ?

Jeg ved sgu ikke om det stadig virker, men et trick er at lave et felt der hedder "coment" eller "message" og så bruge css til at gøre det usynligt.
Så skal du bare KUN godkende kommentaren hvis feltet er tomt.

Så vil spambots udfylde feltet, fordi de jo gerne vil spamme, mens mennesker ikke vil se det.

Jeg har med success brugt det på mange af mine sider, men jeg ved ikke om spam botsne er blevet klogere.

#Henrik
Tak. Jeg kunne ikke få det til at virke med den der CSS, så jeg brugte bare type="hidden" i input feltet .

Du bør ikke bruge type="hidden" da spambots nok vil undgå disse felter. Den metode jeg har brugt igennem mange år er også den Henrik skriver - kalder bare feltet for "captcha" i stedet da spambots godt ved at de skal udfyldes (hvilket jeg ikke vil have).

Jeg vil dog alligevel anbefale dig at bruge Google's ReCaptcha: http://www.google.com/recaptcha Det er nok den mest brugte og dermed nok også den mest sikre på nettet :-)

#Henrik
Kan du give et eksempel på hvordan du vil gøre det?

#Henrik
Tak. Jeg kunne ikke få det til at virke med den der CSS, så jeg brugte bare type="hidden" i input feltet .

Ja, kig nærmere på den som Martin skriver om.

En anden mulighed er at lave et felt mere som fx:

 <input type="text" name="sikkerhed" Value="Hvad er 2+2?" />

Så kan du, i din php teste om brugeren skriver 4. Det er den hurtige måde, men knap så pæne

#Martin

Jeg har fundet noget lign. det du har sendt. Men det virker ikke optimalt.

 if(isset($_POST['message'])) {
   if($_POST['name']!=="" && $_POST['email']!=="" && $_POST['msg']!=="") {
     $name = htmlspecialchars($_POST['name']);
     $email = htmlspecialchars($_POST['email']);
     $msg = htmlspecialchars($_POST['msg']);
     $securitycode = $_POST['securitycode'];
     $date = time();
     
 if( $_SESSION['security_code'] == $securitycode && !empty($_SESSION['security_code'] ) ) {
 
 if(eregi("^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$", $email)) { 
 
     mysql_query("INSERT INTO msg (date, name, email, msg, blogid) VALUES ('". $date ."','". $name ."', '". $email ."', '". $msg ."', '". $_GET['id'] ."')");
     $ok = "The comment is now added!<br /><br />";
     unset($_SESSION['security_code']);
 
 } else { $ok = "<span style='color:red;'>Invalid email address</span><br /><br />"; }
 
 } else { $ok = "<span style='color:red;'>Wrong security code</span><br /><br />"; }
 
  } else { $ok = "<span style='color:red;'>All fields are required</span><br /><br />"; }
 }

Den udskriver: "Wrong security code".

Og formen ser sådan ud nu:

 <form method="post" action="http://nicholaijensen.com/blog/<?php echo $_GET['id']; ?>/">
 Name:<br /> <input type="text" name="name" /><br />
 E-mail:<br /> <input type="text" name="email" /><br />
 Comment: <br /><textarea name="msg"></textarea><br />
 <img src="../../page/CaptchaSecurityImages.php?width=100&height=40&characters=5" /><br />
 <label for="security_code">Security Code: </label><input id="security_code" name="security_code" type="text" /><br />
 <input type="submit" name="message" value="Add comment" />
 </form>

Jeg fandt det hele her:
http://www.white-hat-web-design.co.uk/blog/php-captcha-security-images/

#Christian
Det er også det jeg plejer at lave, men kan ikke lide den mulighed.

Det stykke kode du skriver ser også lidt mærkeligt ud,
Du forsøge at hente :

 $securitycode = $_POST['securitycode'];

Men i din HTML står den som:

 <input id="security_code" name="security_code" type="text" />

altså med under_score.

Jeg er heller ikke selv fortaler for den mulighed, synes ikke den virker så godt i længden, men den virker