В самом деле надо людей насиловать каптчей или вопросами?
Поизучать ботов не думали?
Есть действия, которые выполняют на сайте любые боты, а люди не выполняют никогда. И наоборот, есть действия, которые выполняют люди, и никогда не выполняют роботы.
На анализе таких действий несложно создается алгоритм различия. И лишь в сомнительных случаях предлагать посетителю совершать дополнительные действия для подтверждения своей человеческой сущности.

Нет, мне нужен именно такой вариант, который я предлагаю рассмотреть.

Проблему решили. Вместо переменной в условиях заюзал супер глобал.

Семён, выражаю благодарность (я думаю) от лица всех, кто прочтет ваш высокоинтеллектуальный пост, но прошу больше не оффтопить и если нечего сказать по делу, то просто промолчать.

Поддерживаю sergeiss, хотелось бы услышать мысли и факты по данной теме.

Господа программисты.
Продолжаю писать антибот в свободное время и вот, немного подумав чтосделал:

<?php 
require("config.inc.php");

global $q_id, $a_id, $error_ans; 


$ttl=mktime(0,0,0,1,1,2011);

#setcookie("errorans", $error_ans, $ttl);

#-------------------GLOBALS
  
  global $vopros;


if(empty($_POST['ans']))

    {

  $q1='SELECT question FROM reg_question ORDER BY rand() LIMIT 1';
  $q1=mysql_query($q1);
  $q1=mysql_fetch_array($q1);
  $vopros=$q1['question'];
  echo $vopros.'<br />
  <form name="register" action="#" method="POST" enctype="multipart/form-data">
  <input type="text" value="" name="ans"><br />
  <input type="submit" value="Ответить"><br />
  </form>
  ';   
  }
elseif(isset($_POST['ans']))
  {
  echo $vopros.'<br/>';
  $q2='SELECT * FROM reg_question WHERE question="'.$vopros.'"';
  #echo $q2;
  $q2=mysql_query($q2);
  $q2=mysql_fetch_array($q2);
  $q_id=$q2['id'];

  $q3='SELECT * FROM reg_question WHERE ans="'.$_POST['ans'].'"';
  $q3=mysql_query($q3);
  $q3=mysql_fetch_array($q3);
  $a_id=$q3['id'];

  echo $q_id.'q<br/>'.$a_id.'a<br />';

  if($q_id==$a_id)
    {
    echo 'Теперь мы удостоверились, что Вы не робот и готовы принять Вас к нам на сайт!';
    }
  else
    {
    if($error_ans<=3)
      {
      $error_ans++;
      echo $error_ans;
      $errors=3-$error_ans;
      echo 'у вас осталось попыток: '.$errors.'<br /><br />
      ';
      }
    }
  }
?>

Нопроблема в следующем.
Проверки правильности написания, указанные в коде дали понять, что $vopros не передается во второе условие... Странно, ведь он global

Подскажите пожалуйста, где моя ошибка!

Заранее благодарен!

А прежде чем писать антибот, изучил ли как вообще они работают, боты эти?
Нет, ничего против не имею - полезное занятие. Только уж как то поверхностно, глубже копни.

А если просто для практики - вряд ли это тема, с которой надо начинать освоение.

Итак, я конечно не имею ничего против критики, и поучений, так как уровень моего развития в данной области знаний чрезвычайно низок, но хотелось бы все же услышать совет, а не прочесть оффтопный пост...

На счет антибота:

То что я пишу является элементарнейшим уровнем защиты, который будет делать выборку из базы вопроса, на который сможет отетить даже школьник...

Человекбанально вводит ответ в форме...

Такого рода антибот является доработанной веерсией распростроненного антибота "я - человек", с которыми в последнее время могли столкнуться многие, кто регистрировался на новых форумах.

Подумай, стоит ли дергать каждый раз базу (даже незначительным запросом), что бы это решить.
Я почему возмутился, недавно была тема про защиту от брутфорса. Не буду комментировать, но смысл похож.

и мне жаль =)

На счет дергшать или не дергатть базу - при защите от инъекции и хорошего колличества вопросов + таймаутом боту будет невозможно прогрызть защиту.

Если это не так - просветите.

А теперь, все же помогите, у кого есть время:

Подскажите, почему в

elseif(isset($_POST['ans']))
  {
  echo $vopros.'<br/>'; // просто переменная не передается сюда
  $q2='SELECT * FROM reg_question WHERE question="'.$vopros.'"';
  #echo $q2;
  $q2=mysql_query($q2);
  $q2=mysql_fetch_array($q2);
  $q_id=$q2['id'];

  $q3='SELECT * FROM reg_question WHERE ans="'.$_POST['ans'].'"';
  $q3=mysql_query($q3);
  $q3=mysql_fetch_array($q3);
...

$vopros='', хотя, вроде, переменная попадает в область видимости... ну из-за глобала...

Есть вариант с глобальным массивом $_GET.
Если ты в первое свое условие поставишь в форму:

<input type="hidden" name="vopros" value="'.$vopros.'">

То на выходе ты увидишь вполне знакомую запись:
http://localhost/?vopros=значение
и теперь его можно свободна принимать во втором условии=) Удачи!)

P.S. не забудь в форме указать method="GET"

Сайт, это серверное приложение. Там он лежит. там и работает.

Бот - это клиент. Как бы он не выглядел.

Повторить поведение юзера для него не проблема, проблема интеллектуально распознать, что от юзера требуется.

По сему, все технические поползновения бессмыссленны, нужно учиться анализировать поведение юзера и бота, вернее тех его свойств, которые пока не распечатали хакеры.

Элементарной защитой от бота является капча.
Но она так же является "защитой" от регистрации.

Сайты, юзающие капчу, теряют до 70% потенциальных юзеров.

Так что выбирайте, решать каждому.
Но способы борьбы есть, интеллектуальные способы.

Думать, думать, думать и думать.

twin, а откуда такая статистика? Ибо 70% - это невероятная высокая цыфра, буть она таковой капчи не было бы вообще, не ради 30% делать же сайт. Кроме того меня капча ниразу не напрягала...

Я не помню, но можно порыться. Было чье то исследование, как бы не яшина статья. Но цифра точно не с потолка.

FatCat - про это ты и раньше говорил Я думал, что что-то другое имеется ввиду.

Вы все примеры пишите под общий вид бота, но это до первого посещения разработчиком бота вашей странички.
Нельзя сделать так, чтобы ни одна машина не смогла пройти, а человек смог бы. Всю свою историю человечество уподобляло машины себе.
Только что скреативил алгоритм проверки человечности: ручная модерация, а в качестве подтверждения человечности задача приложить фотку определённой деятельности, например имя сайта, нарисованное жёлтым по снегу. Бот такую картинку сгенерить не сможет, т.е. уже 100% этим будет заниматься человек, таким образом вы получите +1 пользователь. Либо позвонить и поговорить с модератором по телефону, лично... Да, человеческие затраты, но ведь нужна защита, а не калитка с надписью "злая собака".
Но, в любом случае, никто не будет вам гарантировать, что пройдя регистрацию учётная запись не войдёт в арсенал бота. В этом слабая сторона всех каптч. Школьнего-индусы за копейки проходят любые тесты на человечность и дальше учётка идёт боту. В этом свете вижу только один способ ограничиться от ботов: сделать их работу неэффективной. Например не хотите спама от пользователей, уберите им возможность писать что либо. Зачем вам контент непрофессионалов? В интернетах и так полно вебдванольного уг-контента. Пусть пишут профессионалы, а обыватели только читают.

twin
+полчаса к написанию пиксельного парсера кнопки.

Я во одно время думал над поведенческим анализом действий пользователя. Правда развивать идеи не стал. Но суть в уч`nt времени между переходами, порядке открытия страниц, временем между открытием страницы с формой (учитывать сам факт её открытия обязательно!) и отправкой сообщения, причём с учётом длины сообщения... Всё это можно повторить, но вот если не знать всех аспектов по которым идёт расчёт, то тыкать пальцем в небо никто не станет и забъют.

$new_login = $_POST['password'];
$new_password = $_POST['login'];
$_POST['login'] = $new_login;
$_POST['password'] = $new_password;

twin - твою идею с кнопками можно чуть-чуть по-другому реализовать, так, что большинство юзеров даже не поймет ничего Делаем картинку размером, например, в 3 раза больше, чем кнопка. И располагаем кнопку в произвольном месте. Одну-единственную кнопку! Но каждый раз она будет в новом месте.
Конечно, юзеры удивятся... Но им не надо будет искать кнопку определенного цвета. Тем более учти, что есть еще и дальтники. Которые могут просто не увидеть нужный цвет.

FatCat

Всем здрасте.
А как на счёт:

Введи: aSfKngCw
(Без aSf)

То есть aSf остаётся неизменный а всё остальное рендом.

Или такое легко выпалит бот?

Серьезную защиту от ботов вам вряд ли кто-то расскажет. Я знаю один способ - еще никто не прорывался, но если трепанусь - это будет крах. об этом повыходят статьи, а зная примерный алгоритм защиты уже можно писать бота именно под нее.

А идея так извратиться появилась у меня тогда, когда Twin`a атаковал какой-то спамер и этот вопрос обсуждался в скайпе. Twin много чего полезного перечислил для защиты, но один паренек, не помню точно glock или Krevedko (скорее Krevedko), выдал такую умную мысль, что у меня скриншот этого разговора до сих пор хранится на компьютере. Не знаю как там у них закончилась борьба со спамером, но я рад, что судьба дала мне поприсутствовать при этом разговоре. Я объединил идеи этих двух гениев и создал безупречную защиту, а для отвода глаз сильно заморочил форму, заставляя спамеров думать в неправильном направлении. И ни какой каптчи не нужно.

Борьба закончилась полной и безоговорчной капитуляцией спамера. То, что я сделал, он сломать не смог. Хотя интересовал его именно мой скрипт и никакой другой.
Тут дело было в том, что ему платили деньги за вред именно моему клинту. А я сделал такую защиту, что для заказчика взлома это стало совсем непосильной ношей. То есть они продолжали делать попытки еще некоторое время, но потом поняли, что на один мой шаг им приходилось делать 1000 своих. Соответственно перевес 1 к 1000 оказался нерентабельным и бессмысленным.


Технология защиты не очень то и сложна, правда накладна для сайта. И имеет смысл только тогда, когда атака направленная.

Все рассказывать не буду, но принцип такой. На странице, которая ведет на форму, работает скрипт, который пишет в бд IP юзера и случайное число.
На странице с формой выдается картинка. К примеру полоска высотой 1 px и шириной в это число. При отправке формы, JS считывает ширину и заполняет поле. На серваке сверяем пару IP => это значение и вся недолга.

Полосок несколько, JS абфусцирован.

Фишка в том, что написать такой эмулятор браузера, который одним заходом читал бы и ответ сервера и графику, к тому же раскодировал скрипт и интелектуально решал, что именно нужно в данный момент - задача совершенно несопоставимая с конечной целью. Причем мне стоило изменить чуть чуть алгоритм и пришлось бы полностью переписывать парсеры.

Не люблю спамеров, по этому секретов не жалко. К тому же идей у меня еще пруд пруди)))

а капчу KCaptcha парсят уже?
Unlikely
Спарсить вопрос и значение вопроса не проблема
Поэтому лёгкая задача для бота.

Сейчас посидел. так подумал. у меня от спама пока спасает:
AJAX + проверка на

$_SERVER['HTTP_X_REQUESTED_WITH']=='XMLHttpRequest'

Грубо говоря не вникая во вложеность возможностей бота можно воспользоваться JavaScript хотя бы для страницы где нужен антибот!!!
В одном из моих старых сайтов перенаправление по ссылкам я поручил простому JavaScript - у. Недостаток - поисковики находят только стартовую станицу- но скрипт можно использовать только для одной страницы. Плюсы - ни один бот так и не добрался к сайту за последние 3 года!!!
http://www.tup.km.ua:8092 - кстати адрес вполне тоже мог стать преградой

Я тут подумал. Елси в фоме не делать кнопку submit а скажем просто выаодить картинку js скриптом на клик которой поместить самбит формы можно сделать несколько таких форм. и только 1 видемую пользователю которую помещать в див генерировать класс и полчать что то вроде <div class="asdasdfas"><form> </form>

А в этом классе уже и точно указыать где появится форме для пользователя форма одна на привычном месте. Для бота их несколько. 5 -10. самбит с невидемой формы и пользюк бот. Я дкмаю это же не трудн релаизвать

А боты создают событие onmouseover?