Überprüfung von Formulardaten

**TobiaZ** · 30.12.2005, 15:47

Jain,

zum einen mittels dem Referer. Den kann man aber fälschen oder gar nicht erst mitsenden. Also nicht 100% sicher.

Kannst auch ne Session starten und auf der eintragseite überprüfen, ob die noch gültig ist. Natürlich auch nicht 100% sicher.

Alternativ könntest du satt der Session ein Cookie verwenden. Ist immer noch nicht 100% sicher.

Du kennst aber sicher diese netten Bildschen mit so verschnörkelt und gedrehten Zahlen. Mit diesem Verfahren kannst du relativ sicher gehen, dass die Daten wirklich von DEINER Formularseite kommen.

**Dave017** · 30.12.2005, 16:11

Danke für deine Hilfe, Deine aufgezählen Möglichkeiten habe ich in mein Guestbook schon eingebaut. (hat aber nicht sehr viel geholfen)

Es bleibt mir doch nichts anderes über als Captcha in mein Guestbook einzubauen.

Mfg Dave

**TobiaZ** · 30.12.2005, 16:25

psychologische lösung: einträge erst nach Freischaltung anzeigen.

**penizillin** · 31.12.2005, 00:01

der gedanke ist mir in der form ja noch nie gekommen, aber jetzt, wo tobiaz es erwähnt:

- ein beitrag wird erst nach der freischaltung angezeigt.
- wenn die freischaltung nicht innerhalb von 3 tagen erfolgt, wird der datensatz automatisch gelöscht.

so schaut man gelegentlich in sein email-postfach und kümmert sich nur um die freischaltung korrekter einträge. der rest wird zeitverzögert eliminiert.

**ghostgambler** · 31.12.2005, 03:04

Original geschrieben von penizillin
der gedanke ist mir in der form ja noch nie gekommen, aber jetzt, wo tobiaz es erwähnt:

- ein beitrag wird erst nach der freischaltung angezeigt.
- wenn die freischaltung nicht innerhalb von 3 tagen erfolgt, wird der datensatz automatisch gelöscht.

so schaut man gelegentlich in sein email-postfach und kümmert sich nur um die freischaltung korrekter einträge. der rest wird zeitverzögert eliminiert.

ist das nicht für ein dummes Gästebuch etwas zuviel des Guten? Oo,

ka, was ihr da erwartet, aber selbst wenn ein Spammer auf die Idee kommen sollte das Skript zu missbrauchen, dann tuts ggf. ein Query allá
DELETE FROM gb WHERE datum > DATE_SUB(NOW(), INTERVAL 1 DAY)
und der Müll ist weg *zuck*

**Hopka** · 31.12.2005, 11:34

Du kannst auch einen Code erzeugen, den in die Session speichern und per Hidden-Input Feld in deinem Gästebuch mitsenden. Wenn die beiden Codes übereinstimmen, dann kommt der Eintrag von der richtigen Seite. (Ach ja: Stichwort CSRF - Cross Site Request Forgeries)

Falls du dich vor Spam schützen willst, so komme ich in meinem Gästebuch mit einem simplen wort-basierten Spam-Filter sehr gut zurecht. Ist natürlich nur eine rudimentäre Lösung, und man muss es immer anpassen, aber für meine Zwecke reicht es. Immer wenn Spam im Gästebuch war, hab ich geguckt was für charakterisierende Wörter drin waren, und hab die dann in eine Liste mit geblockten Wörtern eingetragen.

**TobiaZ** · 01.01.2006, 16:05

Du kannst auch einen Code erzeugen, den in die Session speichern und per Hidden-Input Feld in deinem Gästebuch mitsenden. Wenn die beiden Codes übereinstimmen, dann kommt der Eintrag von der richtigen Seite.

Das glaubst du!

Wenn ich lust habe, hole ich mir die SID und auch den Code und schon habe ich alles, was ich brauche um eine gültige Request zu senden.

**v-sync** · 02.01.2006, 10:24

Vielleicht habe ich jetzt einen Gedankenfehler, aber ein Captcha hilft dagegen doch genauso wenig!? Die Grafik kann man sich auch von dem Originalformular auslesen lassen, und dann in der eigenen Datei anzeigen.

Ich denke es gibt keine Sicherheit, dass die Daten von einer festgelegten Datei kommen. Aber das kann einem doch auch egal sein, sofern die Daten konform sind. Und dieses wird durch den Mechanismus hinter dem Formular auf dem Server sichergestellt.

Egal wieviel Aufwand man treibt, es benötigt nur ein wenig mehr um die Vorkehrungen zu umgehen.

mfg

**plastikbaum** · 02.01.2006, 17:02

Ich habe das für meine Zwecke so gelöst:

Beim Aufrufen des Gästebuches wird eine UID generiert, in der DB gespeichert und in ein Hidden-Feld gesetzt.

Beim Absenden eines Eintrages wird geprüft, ob die UID aus dem Hidden-Feld in der Datenbank vorhanden ist. Ist sie nicht vorhanden, wird der GB-Eintrag auch nicht gespeichert. Ist sie vorhanden, wird der GB-Eintrag gespeichert und die UID aus der Datenbank gelöscht.

Wenn man einen Eintrag nun von einer fremden Seite aus machen will, müsste man auf jeden Fall das Gästebuch aufrufen, damit eine UID generiert und in die DB gespeichert wird, die aktuelle UID auslesen und dann den Eintrag absenden. Und das für jeden Spam-Eintrag neu. Und mithilfe der Browser-Aktualisierung kann man auch nicht Spammen, da die UID im Hidden-Feld ja nicht mehr in der DB vorhanden ist.

Das sind zwar zwei DB-Querys mehr, aber ein Gästebuch wird ja auch nicht 100 Mal in der Sekunde aufgerufen.

pb

**jahlives** · 02.01.2006, 17:09

Das hindert mich aber nicht ein Script zu schreiben, dass dein GB auftruft, das Form mit Müll auffüllt und an die DB sendet. Und dann einen neuen Aufruf macht (wegen der neuen UID).

Der einzige gangbare Weg um Spam ansatzweise wirksam zu bekämpfen, ist es mit Captchas zu arbeiten.

Gruss

tobi

**penizillin** · 02.01.2006, 17:44

Original geschrieben von v-sync
Vielleicht habe ich jetzt einen Gedankenfehler, aber ein Captcha hilft dagegen doch genauso wenig!? Die Grafik kann man sich auch von dem Originalformular auslesen lassen, und dann in der eigenen Datei anzeigen.

dass ein mensch das kann, ist klar. dafür sind captchas ja da: es geht darum, dass es nahezu unmöglich für eine maschine sein soll, den schriftzug zu lesen.

**v-sync** · 03.01.2006, 04:05

Original geschrieben von penizillin
dass ein mensch das kann, ist klar. dafür sind captchas ja da: es geht darum, dass es nahezu unmöglich für eine maschine sein soll, den schriftzug zu lesen.

Da widerspreche ich dir auch nicht. Nur war Spam (oder eine andere Form von automatisierten Vorgängen) nicht unbedingt das Anliegen vom Threadersteller, zumindest hat er das mit keinem Wort erwähnt.

Überprüfung von Formulardaten