| Защита от автоматической регистрации при помощи картинки. |
В последнее время в Интернете все чаще можно встретить разнообразных спам-ботов, которые не только автоматически регистрируются, но и добавляют спам-сообщения на форумах, в комментариях и т.п.
Действия ботов могут так же привести к более серьезным последствиям. Представьте что у вас есть форма, которая заносит данные в базу данных после ее отправки, и что может произойти, если в одно мгновение форму автоматически заполнят и отправят тысячи и десятки тысяч роботов.
Очень часто возникает необходимость защиты от таких ботов. Как правило, в основном защита организуется в виде какого то дополнительно параметра, который должен быть введен в одно из полей формы, и который бот никак не сможет определить. Это реализуется при помощи картинки с буквами или цифрами (или и тем и другим одновременно) через сессии или через ip посетителей. В данной статье я помогу вам разобраться как сделать такую картинку при помощи php и mysql в считанные минуты.
Для начала создадим небольшую таблицу базы данных, в которой будут временно храниться ip посетителей и значения цифр, изображенных на картинке:
CREATE TABLE test (
IP char(15) NOT NULL,
Number char(3),
PRIMARY KEY(IP))
Тип поля Number указывает, что у нас будут выводится по три цифры на каждой картинке.
Пусть у нас есть некая форма, корорая отправляет данные странице ok.php. Часть кода страницы, на которой расположенна форма будет выглядить следующим образом.
Код файла index.php:
<form action=ok.php method=post>
Имя: <input type=text><br>
Текст: <input type=text><br>
Введите цифры на картинке: <input type=text size=3 name=intext>
<?php
$ip = $_SERVER['REMOTE_ADDR'];
for ($i=0; $i<3; $i++) $x=$x.mt_rand(1,9);
echo "<img src=pic.php?text=".$x.">";
@mysql_connect('localhost', 'login', 'pass') or die;
@mysql_select_db('dbname') or die("Не удалось соединится с базой данных");
mysql_query("INSERT INTO test VALUES('".$ip."', '".$x."')");
?>
<input type=submit>
</form>
На форме расположенны два поля для ввода данных (Имя и Текст) и поле для ввода значения цифр с картинки (которое имеет имя intext)
$ip = $_SERVER['REMOTE_ADDR'];
Определяем ip посетителя страницы.
for ($i=0; $i<3; $i++) $x=$x.mt_rand(1,9);
При помощи функции mt_rand формируем три случайных числа от 1 до 9 и представляем их в виде строки $x.
echo "<img src=pic.php?text=".$x.">";
Ключевая строка. Выводим собственно картинку цифрами. Код файла pic.php описан ниже.
@mysql_connect('localhost', 'login', 'pass') or die("Не удалось соединится с хостом базы данных");
@mysql_select_db('dbname') or die("Не удалось соединится с базой данных");
mysql_query("INSERT INTO test VALUES('".$ip."', '".$x."')");
Соединяемся с базой данных и записываем ip и строку с цифрами в таблицу test.
<input type=submit>
</form>
Рисуем кнопку отправки данных и закрываем форму :)
Код файла pic.php:
<?php
Header("Content-type: image/gif");
$rgb=0x1e81de;
$idest = imagecreatetruecolor(39, 20);
$textcolor = imagecolorallocate($idest, 255,255,255);
imagefill($idest, 0, 0, $rgb);
imagestring($idest, 3, 9, 4, $text, $textcolor);
imagegif($idest);
imagedestroy($idest);
?>
Из того, что вы должны знать в этом коде: $rgb - цвет фона картинки, $textcolor - цвет цифр, выводимых на картинке. Как вы заметили, формироваться будет изображение в формате GIF.
Теперь осталось последнее, обработка данных полученных в форме в файле ok.php (куда эти данные собственно и передаются).
Код файла ok.php:
<?php
$ip = $_SERVER['REMOTE_ADDR'];
@mysql_connect('localhost', 'login', 'pass') or die;
@mysql_select_db('work2') or die;
$res = mysql_query("SELECT number FROM test WHERE IP='".$ip."'");
if (mysql_num_rows($res)==0) echo "Вы не ввели цифры!";
else
{
if (mysql_result($res,0,0)!=$intext) echo "Вы ввели не правильные цифры";
else echo "ВСЕ ОК :)";
mysql_query("DELETE FROM test WHERE IP='".$ip."'");
};
?>
Опять же, определяем ip пользователя и сравниваем, записан ли такой адрес в таблицу test. Если да, проверяем:
mysql_result($res,0,0)!=$intext
те ли цифры пользователь ввел в форму в текстовое поле intext, которые были отображены на картинке и записаны возле его ip адреса в базе данных. Вот и все :)
Единственное что можно добавить, что безусловно данный механизм не представляет собой идеал защиты. Например, пользователь может зайти на страницу с формой, скрипт запишет его айпи, а он возьмет и перегрузит страницу. Но в данной статье я не преследовал цель написать полноценный скрипт, а лишь хотел ознакомить вас с основным механизмом разработки подобной защиты.
Автор: нет данных
Источник: art.webobzor.net
|
|