Как можно обойти спам в форму данных обратной связи?

@ahtik95 · Регистрация: 29.09.2016

Author24 — интернет-сервис помощи студентам

Если на сайте есть форма , где оставляется номер телефона , коммент и имя для того, чтоб перезвонить . И вот я подумал, а что если человек захочет заниматься вредительством и заполнять эту форму огромное количество раз, спамить , вводя разные данные ,имена и номера телефонов. Все это будет залетать в базу данных , и как тут определить реальных людей, кому надо перезвонить и какие из них фейковые. И если этот вредитель через VPN будет это делать. В какую сторону мне копать?

@VTsaregorodtsev · 13.09.2019, 20:51

Защита от спама и флуда
Там пятый и шестой посты - с красивыми и простыми решениями. От языка программирования (пхп или .нет) они не зависят.
Вариант с селектом - реализовать в виде выбора "я бот / я не бот", вариант бота стоит по-умолчанию.
Понятно, что ловиться будут только и именно спамящие боты. Реального человека, решившего напакостить именно ручным вводом данных, не отловить никак.

@sau · 14.09.2019, 11:02

VTsaregorodtsev, это очень просто обходится , боты с формами браузера не работают , они делают сразу запрос к серверу с нужными данными , и запихнуть туда параметр "я не бот" - на раз два.
Гуглкапча более менее усложняет процесс , по меньшей мере требует копеечку за ее разбор с помощью сторонних сервисов - а это значит , что спам во первых будет стоить денег , во вторых кол-во запросов в единицу времени резко снизится т.к на разбор капчи нужно время.
еще одним плюсом будет необходимость выполнения какого либо js скрипта с генерацией значения без которого запрос не будет принят - это вынудит писать бота с использованием браузерного движка - что так же снизит скорость , повысит нагрузку на ресурсы машины вредителя.

Все в совокупности доставляет массу неудобств и затрат на реализацию спама , перед вредителем встает вопрос о целесообразности. - никому не интересно оплачивать анонимные прокси , арендовать железо , платить сервисам за капчу и т.п. ради того , что бы заспамить форму обратной связи , каждый запрос стоит денег - а значит должен приносить еще больше денег , это имеет смысл только для определенной группы сайтов.

@VTsaregorodtsev · 14.09.2019, 11:29

Сообщение от sau

боты с формами браузера не работают , они делают сразу запрос к серверу с нужными данными

На своих проектах - я в логах сервера вижу, что бот сначала дёргает страницу с формой, и только потом выполняется скрипт отправки письма с неё (который прописан в теге <form method=post action="filename.php">).
Если форму со страницы временно убрать - боты будут продолжать дёргать страницу, в надежде что всё вернётся обратно

Скрипт (с аргументами, соответствующими именам и значениям полей формы) при этом вызываться ботами не будет. Т.е. можно на сервере даже не переименовывать файл скрипта, боты его имя не запоминают.
Так что мой опыт говорит о том, что боты постоянно берут исходную страницу - для проверки/уточнения имён полей формы и имени скрипта. Хотя, конечно, каждый сам может/должен смотреть на логи своего сервера - и принимать решение об уме и стратегии ходящих к нему ботов.

@ahtik95 97 / 98 / 58 Регистрация: 29.09.2016 Сообщений: 410
		1
	Как можно обойти спам в форму данных обратной связи? 13.09.2019, 17:37. Показов 2154. Ответов 3 Метки нет (Все метки) Если на сайте есть форма , где оставляется номер телефона , коммент и имя для того, чтоб перезвонить . И вот я подумал, а что если человек захочет заниматься вредительством и заполнять эту форму огромное количество раз, спамить , вводя разные данные ,имена и номера телефонов. Все это будет залетать в базу данных , и как тут определить реальных людей, кому надо перезвонить и какие из них фейковые. И если этот вредитель через VPN будет это делать. В какую сторону мне копать? 0

@VTsaregorodtsev 1487 / 1414 / 240 Регистрация: 19.02.2010 Сообщений: 3,916
	13.09.2019, 20:51	2
	Защита от спама и флуда Там пятый и шестой посты - с красивыми и простыми решениями. От языка программирования (пхп или .нет) они не зависят. Вариант с селектом - реализовать в виде выбора "я бот / я не бот", вариант бота стоит по-умолчанию. Понятно, что ловиться будут только и именно спамящие боты. Реального человека, решившего напакостить именно ручным вводом данных, не отловить никак. 1

@sau 2735 / 2041 / 380 Регистрация: 22.07.2011 Сообщений: 7,731
	14.09.2019, 11:02	3
	VTsaregorodtsev, это очень просто обходится , боты с формами браузера не работают , они делают сразу запрос к серверу с нужными данными , и запихнуть туда параметр "я не бот" - на раз два. Гуглкапча более менее усложняет процесс , по меньшей мере требует копеечку за ее разбор с помощью сторонних сервисов - а это значит , что спам во первых будет стоить денег , во вторых кол-во запросов в единицу времени резко снизится т.к на разбор капчи нужно время. еще одним плюсом будет необходимость выполнения какого либо js скрипта с генерацией значения без которого запрос не будет принят - это вынудит писать бота с использованием браузерного движка - что так же снизит скорость , повысит нагрузку на ресурсы машины вредителя. Все в совокупности доставляет массу неудобств и затрат на реализацию спама , перед вредителем встает вопрос о целесообразности. - никому не интересно оплачивать анонимные прокси , арендовать железо , платить сервисам за капчу и т.п. ради того , что бы заспамить форму обратной связи , каждый запрос стоит денег - а значит должен приносить еще больше денег , это имеет смысл только для определенной группы сайтов. 1

@VTsaregorodtsev 1487 / 1414 / 240 Регистрация: 19.02.2010 Сообщений: 3,916
	14.09.2019, 11:29	4
	Сообщение от sau боты с формами браузера не работают , они делают сразу запрос к серверу с нужными данными На своих проектах - я в логах сервера вижу, что бот сначала дёргает страницу с формой, и только потом выполняется скрипт отправки письма с неё (который прописан в теге <form method=post action="filename.php">). Если форму со страницы временно убрать - боты будут продолжать дёргать страницу, в надежде что всё вернётся обратно Скрипт (с аргументами, соответствующими именам и значениям полей формы) при этом вызываться ботами не будет. Т.е. можно на сервере даже не переименовывать файл скрипта, боты его имя не запоминают. Так что мой опыт говорит о том, что боты постоянно берут исходную страницу - для проверки/уточнения имён полей формы и имени скрипта. Хотя, конечно, каждый сам может/должен смотреть на логи своего сервера - и принимать решение об уме и стратегии ходящих к нему ботов. 0