$te
01-07-2009, 13:02
Come da titolo..
View Full Version : [PHP HTML]Form "contattaci":tutto il necessario per difendersi da attachi
anonimizzato
01-07-2009, 13:38
http://php.html.it/articoli/leggi/2276/captcha-con-php/
$te
01-07-2009, 15:38
pensi sia l'unica soluzione?
Con un semplice form, un malintenzionato, cosa puo fare? (di danno)
Con un semplice form, un malintenzionato, cosa puo fare? (di danno)
Dânêl
01-07-2009, 18:30
I danni che possono provenire da un form sul quale non sono state prese le dovute precauzioni dipendono da quel che fa e dalle tecnologia con le quali è interfacciato.
Potrebbe essere utilizzato per mandare spam in modo pesante tanto da sovraccaricare il server e potersi ritrovare con il sito sospeso (questo dipende dalle policy del provider) o comunque arrecando danni a chi fornisce lo spazio web che si ritrova a dover gestire un ingente mole di mail.
In questi casi va usato un buon captcha (come suggerito da Sgurbat), sperando che non venga superato dai bot, o impostare dei limiti temporali per l'invio di email da uno stesso utente/pc
Questa è la cosa più semplice che possa accadere.
Poi a seconda di come venga elaborato il form lato server e da cosa ci si fa con quelle informazioni i possibili rischi e conseguenti danni aumentano enormemente
Non voglio fare terrorismo psicologico però :Prrr:
Potrebbe essere utilizzato per mandare spam in modo pesante tanto da sovraccaricare il server e potersi ritrovare con il sito sospeso (questo dipende dalle policy del provider) o comunque arrecando danni a chi fornisce lo spazio web che si ritrova a dover gestire un ingente mole di mail.
In questi casi va usato un buon captcha (come suggerito da Sgurbat), sperando che non venga superato dai bot, o impostare dei limiti temporali per l'invio di email da uno stesso utente/pc
Questa è la cosa più semplice che possa accadere.
Poi a seconda di come venga elaborato il form lato server e da cosa ci si fa con quelle informazioni i possibili rischi e conseguenti danni aumentano enormemente
Non voglio fare terrorismo psicologico però :Prrr:
anonimizzato
01-07-2009, 18:38
pensi sia l'unica soluzione?
Con un semplice form, un malintenzionato, cosa puo fare? (di danno)
Non è l'unica soluzione ma un buon punto di partenza.
Volendo ci sono anche tecniche "LESS-CAPTCHA" ovvero che ricorrono ad altri sistemi di filtro senza usare il captcha.
Una di queste, molto semplice, può essere quella di usare campi di input fittizzi, nascosti all'utente ma "visibili" ad un bot.
Es: nella mia form di registrazione NON ho necessità di richiedere un URL del sito dell'utente
Metto comunque il campo di input relativo <input type="text" name="url" value="" /> e lo nascondo tramite CSS.
Un utente normale non lo vedo e quindi non può compilarlo, un bot invece lo trova nel codice e lo compila.
All'invio della form ti basta controllare la presenza o meno di un valore per detto campo per sapere se si tratta di un tentativo di spam o meno.
Va detto che nessuna di queste tecniche è infallibile, ma è già una buona cosa dotarsene.
Con un semplice form, un malintenzionato, cosa puo fare? (di danno)
Non è l'unica soluzione ma un buon punto di partenza.
Volendo ci sono anche tecniche "LESS-CAPTCHA" ovvero che ricorrono ad altri sistemi di filtro senza usare il captcha.
Una di queste, molto semplice, può essere quella di usare campi di input fittizzi, nascosti all'utente ma "visibili" ad un bot.
Es: nella mia form di registrazione NON ho necessità di richiedere un URL del sito dell'utente
Metto comunque il campo di input relativo <input type="text" name="url" value="" /> e lo nascondo tramite CSS.
Un utente normale non lo vedo e quindi non può compilarlo, un bot invece lo trova nel codice e lo compila.
All'invio della form ti basta controllare la presenza o meno di un valore per detto campo per sapere se si tratta di un tentativo di spam o meno.
Va detto che nessuna di queste tecniche è infallibile, ma è già una buona cosa dotarsene.
$te
02-07-2009, 09:52
Non è l'unica soluzione ma un buon punto di partenza.
Volendo ci sono anche tecniche "LESS-CAPTCHA" ovvero che ricorrono ad altri sistemi di filtro senza usare il captcha.
Una di queste, molto semplice, può essere quella di usare campi di input fittizzi, nascosti all'utente ma "visibili" ad un bot.
Es: nella mia form di registrazione NON ho necessità di richiedere un URL del sito dell'utente
Metto comunque il campo di input relativo <input type="text" name="url" value="" /> e lo nascondo tramite CSS.
Un utente normale non lo vedo e quindi non può compilarlo, un bot invece lo trova nel codice e lo compila.
All'invio della form ti basta controllare la presenza o meno di un valore per detto campo per sapere se si tratta di un tentativo di spam o meno.
Va detto che nessuna di queste tecniche è infallibile, ma è già una buona cosa dotarsene.
Bella idea! L'ho subito applicata..anche se non posso testare se funziona:P
Volendo ci sono anche tecniche "LESS-CAPTCHA" ovvero che ricorrono ad altri sistemi di filtro senza usare il captcha.
Una di queste, molto semplice, può essere quella di usare campi di input fittizzi, nascosti all'utente ma "visibili" ad un bot.
Es: nella mia form di registrazione NON ho necessità di richiedere un URL del sito dell'utente
Metto comunque il campo di input relativo <input type="text" name="url" value="" /> e lo nascondo tramite CSS.
Un utente normale non lo vedo e quindi non può compilarlo, un bot invece lo trova nel codice e lo compila.
All'invio della form ti basta controllare la presenza o meno di un valore per detto campo per sapere se si tratta di un tentativo di spam o meno.
Va detto che nessuna di queste tecniche è infallibile, ma è già una buona cosa dotarsene.
Bella idea! L'ho subito applicata..anche se non posso testare se funziona:P
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.