Полная Версия: Проверка входящих данных
Добрый день! Недавно на кнопке установил ссылку где пользователь может пожаловаться на неработающую ссылку, по сценарию мне на почту должно приходить уведомление. Сегодня мне пришло 50 уведомлений (нажатий) причем адрес не моего сайта. То есть создали скрипт из вне, прописали путь к обработчику и началось... Скажите как проверить что донные пришли от меня а не со стороны? подскажите куда копать? заранее спасибО!
| Цитата |
| То есть создали скрипт из вне |
тебя долбят поисковые боты)) спрячь от них эти ссылки
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
| Цитата (Игорь_Vasinsky @ 24.04.2013 - 11:59) | ||
тебя долбят поисковые боты)) спрячь от них эти ссылки |
Сначало было такое но это точно не поисковики! У поисковиков нет браузера, а у меня стоит проверка, если без браузера то присылать не надо. В письме мне приходит на какой именно странице пользователь нажал кнопку и вот она - http://hs.rialcom.ru/login?dst=http%3A%2F%...%3ADA%3A4D%3A1B
Короче это не моя страница
Кнопки нужно солить. С чесночком
Выдавайте в форму уникальный хэш и проверяйте его перед обработкой данных.
Хэш можно хранить в сессии. Если хэш неверный, даем пользователю вторую попытку (может, у него вторая форма открыта, а отправляет первую)
Если хэш вообще не был отправлен, значит бот или xss.
Так же можно хранить несколько хэшей, если форма много где встречается
_____________
Заработай на Userator
Выдавайте в форму уникальный хэш и проверяйте его перед обработкой данных.
Хэш можно хранить в сессии. Если хэш неверный, даем пользователю вторую попытку (может, у него вторая форма открыта, а отправляет первую)
Если хэш вообще не был отправлен, значит бот или xss.
Так же можно хранить несколько хэшей, если форма много где встречается
_____________
Заработай на Userator
Кстати,
| Цитата |
| У поисковиков нет браузера |
а посмотрите заголовки запросов из поисковиков. Есть у них браузер 
Точнее user-agent
Даже простой wget или curl посылает сведения о браузере
_____________
Заработай на Userator
Точнее user-agentДаже простой wget или curl посылает сведения о браузере
_____________
Заработай на Userator
| Цитата (ilyaplot @ 24.04.2013 - 12:32) | ||
Кстати,
а посмотрите заголовки запросов из поисковиков. Есть у них браузер Точнее user-agentДаже простой wget или curl посылает сведения о браузере |
Понимаю! В данном случае это не поисковик..
| Цитата (ilyaplot @ 24.04.2013 - 12:31) |
| Кнопки нужно солить. Выдавайте в форму уникальный хэш и проверяйте его перед обработкой данных. Хэш можно хранить в сессии. Если хэш неверный, даем пользователю вторую попытку (может, у него вторая форма открыта, а отправляет первую) Если хэш вообще не был отправлен, значит бот или xss. Так же можно хранить несколько хэшей, если форма много где встречается |
Вообщем сделал так.
1) Создал алгоритм генерации символов
2) Шифрую их по мд5
3) Добавляю какие ни будь символы (хотя можно и без них)
4) Заталкиваю все в сессию
5) В обработчике генерирую все тоже самое и сверяю
6) Условие если не совпало - досвидос
Вопрос... Прокатит?
Здесь расположена полная версия этой страницы.