Дополнительная защита от спама в комментариях
Боты становятся умнее и всё чаще и чаще обходят и обычные CAPTCHA, и reCAPTCHA от Google. В связи с этим возникает вопрос: как дополнительно защитить сайт от спама? Я нашел такое решение: поскольку боты пытаются заслать комментарий в любое текстовое поле, которое они найдут, их можно обмануть так: перед основным полем для комментария-сообщения сделать дополнительное поле-обманку, которое скрыть средствами CSS. Например:
И далее в обработчике формы на сервере выполняем проверку, что обманное поле не пусто:
Можно чуть усовершенствовать эту защиту: например, сделать выдачу поля-обманки либо перед полем комментария, либо после него в зависимости от случайного значения.
Более продвинутый вариант защиты — имя для поля с комментарием генерируется случайным образом, и помещается в скрытое поле. Т.е. получается примерно такое:
Далее обработка выполняется так:
Если бот испортит первое поле, то комментарий просто будет отвергнут как пустой.
Дополнительная мера — отслеживание времени заполнения формы. Для этого берем время в виде timestamp (можно с вычетом некоторой константы для дополнительной защиты) и помещаем его в скрытое поле. А при получении данных формы проверяем, сколько времени прошло с момента, указанного в этом скрытом поле. И если это значение слишком мало, скажем, меньше 3—4 секунд, отвергаем такой комментарий как спамный. Если на сайте уже реализована защита от CSRF через токен, то имеет смысл хранить время создания формы не в скрытом поле, а вместе с токеном.
Конечно, все эти меры не защитят от бота, написанного для спама конкретно на вашем сайте. Но вот от случайных, которые пытаются отправлять комментарии всюду, где только можно — вполне поможет.
<textarea name="comment" style="visibility:hidden"></textarea>
<textarea name="text"></textarea>И далее в обработчике формы на сервере выполняем проверку, что обманное поле не пусто:
if (!empty($_POST['comment'])) { /* Выдаем ошибку, что антибот-проверка не пройдена */ }
Можно чуть усовершенствовать эту защиту: например, сделать выдачу поля-обманки либо перед полем комментария, либо после него в зависимости от случайного значения.
Более продвинутый вариант защиты — имя для поля с комментарием генерируется случайным образом, и помещается в скрытое поле. Т.е. получается примерно такое:
<textarea name="comment" style="visibility:hidden">ac152ff</textarea>
<textarea name="ac152ff">Ваш комментарий здесь</textarea>Далее обработка выполняется так:
if (empty($_POST[$_POST['comment']])) {
/* Выдаем ошибку, что антибот-проверка не пройдена или комментарий пуст */
}
else {
$text = $_POST[$_POST['comment']];
/* Обработка и сохранение комментария из переменной $text
}
Если бот испортит первое поле, то комментарий просто будет отвергнут как пустой.
Дополнительная мера — отслеживание времени заполнения формы. Для этого берем время в виде timestamp (можно с вычетом некоторой константы для дополнительной защиты) и помещаем его в скрытое поле. А при получении данных формы проверяем, сколько времени прошло с момента, указанного в этом скрытом поле. И если это значение слишком мало, скажем, меньше 3—4 секунд, отвергаем такой комментарий как спамный. Если на сайте уже реализована защита от CSRF через токен, то имеет смысл хранить время создания формы не в скрытом поле, а вместе с токеном.
Конечно, все эти меры не защитят от бота, написанного для спама конкретно на вашем сайте. Но вот от случайных, которые пытаются отправлять комментарии всюду, где только можно — вполне поможет.