email Formular vor Spammern schützen?

**Dj Mik** · 19.07.2007, 01:48

Bildercode ist mal das eine ^^so in etwa wie hier: http://www.miks-world.ch

Es hat zwar spam dort, doch das sollte sich demnähst legen ^^

**jahlives** · 19.07.2007, 10:13

@DJ
Dein Spam Schutz hat gemäss den Einträgen bei Dir genau 21 Minuten gehalten. Ausserdem Captchas mit hidden fields sind schlecht. Wenn ein Captcha gelöst wurde und damit die ID bekannt ist nutzt ein Spammer einfach ein eigenes Form bei welchem er die ID im hidden Field entsprechend anpasst --> bei dem Code würde ich nochmals ans Zeichenbrett gehen.
Sessions könnten z.B. als Ersatz für das hidden Field dienen. Damit musst du diesen ID Wert nicht mehr an den Client herausrücken. Besser wäre es aber bei JEDEM Aufruf des Bildes einen neuen Code zu generieren und diesen in einer Session Var zu speichern.
Such mal hier im Forum zum Thema Captcha

Es hat zwar spam dort, doch das sollte sich demnähst legen ^^

Ohne den Code grundlegend umzubauen wird das aber nix werden mit weniger Spam

Gruss

tobi

**onemorenerd** · 19.07.2007, 10:38

http://recaptcha.net/ - fürs gute Gewissen.

**xkl1986** · 19.07.2007, 10:46

Re: email Formular vor Spammern schützen?

Original geschrieben von stevie97
Halli Hallo!

Mein email Formular wird leider in letzter Zeit ab und zu von Spammern
aufgesucht.
Das Formular wird mit action $_SERVER['PHP_SELF'] auf der gleichen
Seite per email abgeschickt.
Jetzt würde ich gern was gegen die Spammer tun.
Allgemein soll eine session bei soetwas helfen? Aber wie genau
machen das denn eigentlich die Spammer?

Einträge einzeln Freigeben über z.B. ein "status" Feld in der Datenbank

**stevie97** · 19.07.2007, 13:14

Miks-World Seite ist ja voller Spammnachrichten.

Was ist mit Sessions, wie geht das?
Wie geht ein Spammbot vor? Wonach sucht der genau?

**jahlives** · 19.07.2007, 13:26

Was ist mit Sessions, wie geht das?

DER Vorteil von Session ist es, dass du Werte welche du in Session Vars speicherst nicht an den Client übermitteln musst. Das Script, welches das Bild mit dem Code (Captcha) ausgibt, speichert den im Bild gespeicherten Code in einer Session Variable. Wenn dann der User den Code eingibt vergleichst du auf dem Server einfach den Wert der Usereingabe mit dem in der Session Var gespeicherten Wert.
Im Quellcode der beim Client ankommt steht somit nicht ein Teil des Captcha-Codes und daher könnte das Captcha nur mittels einer OCR SW ausgelesen werden.
Schau mal hier im Forum. Habe dort mal eines geschrieben

Gruss

tobi

**Quetschi** · 19.07.2007, 13:41

Ich hatte ähnliche Probleme mit Formularen für Gästebücher oder Kontaktformulare.

Ich habe mit recht simplen Checks momentan eine sehr gute Trefferquote, da die Spambots zumindest bei unseren Seiten immer die gleichen "Muster" zeigen:
- in 2 oder mehreren Feldern stehen gleiche Werte
- ein Textfeld das mit Hilfe von Css ausgeblendet wird, wird ausgefüllt
- ein Feld wie Name, Ort oder Strasse wird mit rein numerischen Werten gefüllt
- ein Feld wie Name, Ort oder Strasse wird mit Html- oder BB-Code ausgefüllt

Mit diesen einfachen Checks kamen von ca. 5000 Versuchen von Spambots gerademal 2 Spam-Einträge durch. Ein versehentliches Aussortieren von echten Einträgen ist nicht vorgekommen.

Captcha vermeide ich daher solange es geht.

**stevie97** · 19.07.2007, 15:40

Original geschrieben von jahlives
DER Vorteil von Session ist es, dass du Werte welche du in Session Vars speicherst nicht an den Client übermitteln musst. Das Script, welches das Bild mit dem Code (Captcha) ausgibt, speichert den im Bild gespeicherten Code in einer Session Variable. Wenn dann der User den Code eingibt vergleichst du auf dem Server einfach den Wert der Usereingabe mit dem in der Session Var gespeicherten Wert.
Im Quellcode der beim Client ankommt steht somit nicht ein Teil des Captcha-Codes und daher könnte das Captcha nur mittels einer OCR SW ausgelesen werden.
Schau mal hier im Forum. Habe dort mal eines geschrieben

Gruss

tobi

Geht das dann nur mit Captchas? Wollte eigentlich nur eine Session allein, wenn das geht?

**jahlives** · 19.07.2007, 16:06

Wollte eigentlich nur eine Session allein, wenn das geht?

Nur mit einer Session alleine wirst du Bots nicht auschliessen können. Die können ja die Session ID feststellen und mit dem Request mitschicken.

Gruss

tobi

**Schnoop** · 19.07.2007, 16:16

Dann gibt es noch den Ansatz der Postzeit.

Ein Spambot postet seine Daten meist direkt an das verarbeitende Script. Somit ist die Zeit die er zum posten braucht sehr gering, wenn nicht gleich 0.

Ein User braucht in der Regel eine gewisse Zeit um Beiträge zu schreiben.

**stevie97** · 19.07.2007, 16:43

Hört sich auch gut an! Wie geht das?

**penizillin** · 19.07.2007, 16:48

Schnoop, ich habe die erfahrung gemacht, das die bots erfolgreich eine absichtliche verzögerung einbauen und einen solchen schutz mit links umgehen (lassen sich oft ca. 20-30 sekunden zeit).

stevie97, selbst nachdenken macht viel mehr spaß, einfach mal versuchen..

**Schnoop** · 19.07.2007, 16:56

Ich habe bislang nur gute Erfahrung gemacht. Hin und wieder kommt mal eine durch. Aber welcher Spamfilter ist schon zu 100% sicher?!

**stevie97** · 19.07.2007, 17:13

Welche Schriftarten und Hintergrundbilder eignen sich denn für Captcha? Was gibt es da zu beachten? Kann man die normale Arial Schriftart verwenden?

email Formular vor Spammern schützen?