Регистрация с капчей

@donvasin · Регистрация: 29.04.2014

Author24 — интернет-сервис помощи студентам

Добрый день!

Копаюсь сейчас с регистрацией на сайте, для безопасности после 5 неудачных попыток (входа, регистрации - не важно) вывожу гугловскую капчу.
Количество попыток пишу в сессию, и при каждой отработке скрипта, если данные не верны, минусую.

Но, если почистить куку, соответсвенно можно опять без капчи вводить данные сколько влезет.
Как правильно сделать? Какие есть решения?

У меня из мыслей писать IP в связке с кол-вом попыток дополнительно еще в БД и проверять были ли запросы за последние 30 мин с него.
Если были - ставить новую куку с этими данными.
Но может есть варианты красивее?

Спасибо.

@andyyy · 28.02.2018, 15:56

Сообщение от donvasin

Но может есть варианты красивее?

да, просто поставить и не париться скока там попыток

@sasha0012 · 28.02.2018, 16:54

Нет смысля привязываться к IP или сессии. IP могут меняться, сессии можно удалить. Самый верный вариант это отметки в БД сколько раз login пытался безуспешно авторизоваться за определённый промежуток времени. Ну а дальше всё от фантазии зависит, либо паузу на время, либо смс на телефон и т.п.

@andyyy · 28.02.2018, 17:28

Сообщение от sasha0012

БД сколько раз login пытался безуспешно авторизоваться за определённый промежуток времени.

а если какой то приколист через разные прокси пошлет запросы на регистрацию) 1000 запросов в минуту к примеру. Поэтому лучше не париться - и не морочиться с супер крутыми регитсрациями. Вам все равно взломают если захотят

Добавлено через 5 минут
и еще такой вопрос а как вы хотитет определять логин? если по ip и по сессии тоже нельзя) Саша - вам

@sasha0012 · 28.02.2018, 17:35

Сообщение от andyyy

Вам все равно взломают если захотят

Да понятно это всё. И с каптчёй взломают если захотят. Человек спросил как сделать то что он хочет. То что каптчу можно сразу поставить, думаю он и так был в курсе...

Добавлено через 1 минуту

Сообщение от andyyy

и еще такой вопрос а как вы хотитет определять логин? если по ip и по сессии тоже нельзя) Саша - вам

Как правило пользователи вводят свой логин в поле при авторизации. А как его отловить, думаю не стоит объяснять....

@andyyy · 28.02.2018, 17:39

Сообщение от sasha0012

А как его отловить, думаю не стоит объяснять..

ну как раз таки по ip и сессиии ловят в основном я так думал) но вы написали что по ip нельзя я думаю думаю.....

как еще можно

@sasha0012 · 28.02.2018, 18:56

Сообщение от andyyy

как еще можно

Ещё так можно:

PHP

1	$login = $_POST['login'];

Добавлено через 12 минут

Сообщение от donvasin

после 5 неудачных попыток (входа, регистрации - не важно)

видимо здесь косяк, я это воспринимаю как вход а andyyy видимо как регистрацию...

@andyyy · 28.02.2018, 19:12

Сообщение от sasha0012

отметки в БД сколько раз login

нет, косяк здесь) логин через POST как это можно узнать!? я один раз введу одно имя другой раз - другое))

@sasha0012 · 28.02.2018, 19:19

Сообщение от andyyy

я один раз введу одно имя другой раз - другое))

))) Вы говорите о регистрации или о авторизации? Выше я уже упоминал что я рассматриваю авторизацию. Если Вы тоже, то было бы очень интересно понаблюдать как Вы авторизуетесь на коком либо сайте. ))

@andyyy · 28.02.2018, 21:50

Сообщение от sasha0012

))) Вы говорите о регистрации или о авторизации? Выше я уже упоминал что я рассматриваю авторизацию. Если Вы тоже, то было бы очень интересно понаблюдать как Вы авторизуетесь на коком либо сайте. ))

ааа все молчу))

@donvasin 2 / 2 / 0 Регистрация: 29.04.2014 Сообщений: 31
		1
	Регистрация с капчей 28.02.2018, 15:20. Показов 1409. Ответов 9 Метки нет (Все метки) Добрый день! Копаюсь сейчас с регистрацией на сайте, для безопасности после 5 неудачных попыток (входа, регистрации - не важно) вывожу гугловскую капчу. Количество попыток пишу в сессию, и при каждой отработке скрипта, если данные не верны, минусую. Но, если почистить куку, соответсвенно можно опять без капчи вводить данные сколько влезет. Как правильно сделать? Какие есть решения? У меня из мыслей писать IP в связке с кол-вом попыток дополнительно еще в БД и проверять были ли запросы за последние 30 мин с него. Если были - ставить новую куку с этими данными. Но может есть варианты красивее? Спасибо. 0

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	28.02.2018, 15:56	2
	Сообщение от donvasin Но может есть варианты красивее? да, просто поставить и не париться скока там попыток 0

@sasha0012 1113 / 554 / 320 Регистрация: 21.06.2012 Сообщений: 1,854
	28.02.2018, 16:54	3
	Нет смысля привязываться к IP или сессии. IP могут меняться, сессии можно удалить. Самый верный вариант это отметки в БД сколько раз login пытался безуспешно авторизоваться за определённый промежуток времени. Ну а дальше всё от фантазии зависит, либо паузу на время, либо смс на телефон и т.п. 1

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	28.02.2018, 17:28	4
	Сообщение от sasha0012 БД сколько раз login пытался безуспешно авторизоваться за определённый промежуток времени. а если какой то приколист через разные прокси пошлет запросы на регистрацию) 1000 запросов в минуту к примеру. Поэтому лучше не париться - и не морочиться с супер крутыми регитсрациями. Вам все равно взломают если захотят Добавлено через 5 минут и еще такой вопрос а как вы хотитет определять логин? если по ip и по сессии тоже нельзя) Саша - вам 0

@sasha0012 1113 / 554 / 320 Регистрация: 21.06.2012 Сообщений: 1,854
	28.02.2018, 17:35	5
	Сообщение от andyyy Вам все равно взломают если захотят Да понятно это всё. И с каптчёй взломают если захотят. Человек спросил как сделать то что он хочет. То что каптчу можно сразу поставить, думаю он и так был в курсе... Добавлено через 1 минуту Сообщение от andyyy и еще такой вопрос а как вы хотитет определять логин? если по ip и по сессии тоже нельзя) Саша - вам Как правило пользователи вводят свой логин в поле при авторизации. А как его отловить, думаю не стоит объяснять.... 0

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	28.02.2018, 17:39	6
	Сообщение от sasha0012 А как его отловить, думаю не стоит объяснять.. ну как раз таки по ip и сессиии ловят в основном я так думал) но вы написали что по ip нельзя я думаю думаю..... как еще можно 0

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	28.02.2018, 19:12	8
	Сообщение от sasha0012 отметки в БД сколько раз login нет, косяк здесь) логин через POST как это можно узнать!? я один раз введу одно имя другой раз - другое)) 0

@sasha0012 1113 / 554 / 320 Регистрация: 21.06.2012 Сообщений: 1,854
	28.02.2018, 19:19	9
	Сообщение от andyyy я один раз введу одно имя другой раз - другое)) ))) Вы говорите о регистрации или о авторизации? Выше я уже упоминал что я рассматриваю авторизацию. Если Вы тоже, то было бы очень интересно понаблюдать как Вы авторизуетесь на коком либо сайте. )) 0

@andyyy 767 / 323 / 157 Регистрация: 26.05.2016 Сообщений: 2,127
	28.02.2018, 21:50	10
	Сообщение от sasha0012 ))) Вы говорите о регистрации или о авторизации? Выше я уже упоминал что я рассматриваю авторизацию. Если Вы тоже, то было бы очень интересно понаблюдать как Вы авторизуетесь на коком либо сайте. )) ааа все молчу)) 0

Опции темы