Zabezpieczenie formularza kontaktowego

pytanie zadane 14 lutego 2019 w PHP przez niezalogowany

Nie chce używac captch'a i ingerować w wygląd.
Wymyśliłem taki sposób zabezpieczenia formularza przed spamowaniem (F5).

Czy to dobry sposób czy jest z nim coś nie tak?

if($_COOKIE['emailSended']){
    $errMsg = "Nie możesz tak szybko wysłać kolejne wiadomości, odczekaj chwilę.";
    $errMsgStatus = "warning";
}else{
    $errMsg = "Wiadomość została wysłana.";
    $errMsgStatus = "success";
    setcookie("emailSended", 1, time()+15); // ustrzeżenie przed spamowaniem :)
}

1	komentarz 14 lutego 2019 przez Arkadiusz Waluk Ekspert (287,950 p.) Nie tak jest tyle, że jeśli ktoś będzie chciał spamować to usunie ciastko i dalej może sobie wysyłać. Pytanie czy ma to chronic przed przypadkowym ponownym wysłaniem (wtedy wystarczy) czy liczysz na bardziej zaawansowaną ochronę.

komentarz 17 lutego 2019 przez niezalogowany

Przypadkowy albo po prostu ludzką złośiwością i klikaniem F5 :)

komentarz 17 lutego 2019 przez Arkadiusz Waluk Ekspert (287,950 p.)

No to już trzeba to rozgraniczyć. Przypadkowy tym zabezpieczysz, złośliwość tylko jeśli osoba będzie mało zaawansowana. Bo jak coś będzie ogarniała usunie ciasteczka, zrobi F5 i wyśle ;)

1 odpowiedź

odpowiedź 15 lutego 2019 przez dxr Obywatel (1,240 p.)

Są dwa podejścia "na szybko":

Pierwsze to JS, który jest pracochłonny. To co ma robić jest zupełnie dowolne :) może np. faktoryzować liczbę pierwszą. Zadanie ma być na tyle obciążające, żeby zniechęcić boty i na tyle proste, żeby użytkownik tego nie zauważył. Były takie pomysły, żeby w czasie weryfikacji kopać bitcoiny, ale nie wiem gdzie te projekty zaszły :)

Drugie to oszustwo. Zmieniasz input name z "email" na coś innego np. "gruzobeton". Dodajesz drugiego inputa "oszusta" o nazwie email i dajesz mu display: none. Przed submitem przy pomocy JSa usuwasz pole email z DOM, a w backendzie robisz tak, że jak przyjdzie request z polem email to odrzuca jako spam. Boty się na to łapią jak głupie :)