Sicherheit: Denial of Service Attacken abwehren

Letzter Versuch, Dich zu bekehren

IP-Sperrtabelle
Struktur
ip Varchar(20)
type Varchar(20)
time int(15)

Anwendung
Im Feld ip die ip rein und bei type kommt rein, was mit der ip gemacht wurde (Mail, Forum, GB, usw.) und bei time der Zeitstempel.
Solang wie die ip in der DB steht erscheint in Deinem Formular nur der Text
"Sie haben sich vor weniger als ".($zeit/60)." Minuten schon eingetragen. Warten Sie einen Augenblick bis die Posting-Sperre nicht mehr greift"
Natürlich darf in dem Formular dann auch das
Insert into tablename (user, topic, text) VALUES( '$user', '$topic', '$text' )"; nicht mehr vorhanden sein.

Dann muss der böse Gästebuchscriptkiddie die Inserts von seinem Script aus ausführen, wozu er allerdings Zugangsdaten Deiner DB braucht.

Besser und einfacher gehts nicht behaupte ich jetzt einfach.

Erstmal kann man sagen, dass man so etwas schwer vollkommen ausschließen kann. Ich würde folgenden Ansatz verwenden:

• Schreiben kann nur jemand, der sich im System eingeloggt und somit auch registriert hat
• Setze eine Zeit fest, die zwichen den einzelnen Postings kein neuer Post erfolgen darf (z.B. 30 Sekunden)
• Versucht ein User jetzt eine bestimmte Anzahl hintereinander diese Speere zu umgehen, wird er gesperrt und kann nur vom Admin aktiviert werden. Dabei sollte aber ein Warnhinweis vor dem Sperren angezeigt werden, damit sich der User dann nicht wundert - falls es jemanden mal ausversehen passieren sollte.
• Jetzt müsste noch die Registrierung durch die Möglichkeit mit dem Bild, wie wahsaga geschieben hat einbauen. Eine Accountaktivierung durch E-Mail ist auch hilfreich.

So könntest du dein System recht gut schützen.

Dankeschön für die vielen Hinweise !!!

@JohnM
Nüscht IP - ich habe doch von dem Nutzer die user_id - kann ihn also ausreichend identifizieren, viel besser als anhand der IP - aber ansonsten werde ich genau solch eine tabelle anlegen und implementieren, mille grazie !

@webstar85
Die Sache mit der Sperrung eines Nutzers ist eine Klasse Idee (daß ich da selber nicht drauf gekommen bin ... )
Die aktivierung durch emaillink ist schon geplant - ich denke, diesbezüglich werden wir uns hier im Forum wieder lesen - ich hab nämlich noch keinen blassen Schimmer wie das geht ;-)

PS: 30 Sekunden halte ich für etwas hart ...
PPS: Das oben von mir gepostete script läuft einwandfrei ... *aufdieschulterklopf*

Daß mit dem emaillink is einfach, habs zwar noch nicht bei mir eingebaut, aber das Konzept is doch klar:
Bei anmeldung wird ein zufallswert erzeugt, in der db gespeichert und an den user verschickt. Nur wenn er diesen wert auf deiner seite eingibt, wird er freigeschaltet. Ein link in der email, der den wert automatisch an deine seite übergibt, macht die sache für den user komfortabler.