Gästebuch mit php und java

[Momo22m]

Hallo Leute seit knapp 3 Wochen hab ich Gästebuch auf meine Page und bekomme um die 300 Spam rein kack spambots hatte ein was mit capcher versehen war aber hilf nicht da hab ich mal bichen gegooglt und da hat einer geschrieben

mann soll es mit java und php zusammen schreiben da die scheiß teile das mit java nicht konnen stimmt das wen ja wie geht das hab keins gefunden was mit java lief das einsige was ich fand was ein link <

a href="javascript: document.der_name.submit()">Absenden</a>

aber hilft das echt bin neu in php und java und wen ja kann ich das mit mein gb zusammen machen

nutze das myPHP_Guestbook_2.0.2 und wo muss das dann ihn hoffe auf Hilfe
pls


mfg Momo

 

[Duddle]

AW: Gästebuch mit php und java

Javascript (Achtung: das ist was ganz anderes als Java) brauchst du nicht zwingend.

Welches Captcha hast du denn eingebaut? Wie hast du es eingefügt? Ich vermute eher, du hast ein sehr schwaches Captcha benutzt bzw. es falsch eingebaut.


Duddle

 

[Chriss1987]

AW: Gästebuch mit php und java

Hi,
geht es dabei um dieses GB: ?
Ich nehme mal an, du meinst JavaScript und nicht Java, oder?
Dann könntest du wie folgt vorgehen:
Erstelle einen neuen JavaScript-Bereich unter

<script type="text/javascript" src="functions.js"></script>

mit folgendem Inhalt:

<script type="text/javascript">
function sendeMeineEingaben(art)
{
    if (art == "send")
    {
        document.gaestebuch.versteckt.value = "send";
    }
    else
    {
        document.gaestebuch.versteckt.value = "preview";
    }
    
    document.gaestebuch.submit();
    return;
}
</script>

Dann gibst du deinem Formular noch einen Namen:

<form action="http://www.morris-s.de/guestbook/insert.php" name="gaestebuch" method="post">

und ersetzt schließlich

<input type="submit" name="send" value="Eintragen" tabindex="7" /> <input type="submit" name="preview" value="Vorschau" tabindex="8" />

mit

<input type="hidden" name="versteckt" /><a href="http://www.morris-s.de/guestbook/insert.php" onClick="sendeMeineEingaben('send'); return false;">Eintragen</a> <a href="http://www.morris-s.de/guestbook/insert.php" onClick="sendeMeineEingaben(''); return false;">Vorschau</a>

irgendwo in der insert.php müsste eine Zeile sein mit

if (isset($_POST['send']))

diese einfach mit

if (isset($_POST['versteckt']) AND $_POST['versteckt'] == 'send')

ersetzen. Das gleiche nochmal mit

if (isset($_POST['preview']))

zu

if (isset($_POST['versteckt']) AND $_POST['versteckt'] == 'preview')

Zur Erklärung: nach klicken des entsprechenden Links wird die JS-Funktion sendeMeineEingaben() aufgerufen und die gewünschte Aktion übergeben. Daraufhin wird von der Funktion dem versteckten Feld ein Wert zugewiesen und das Formular wird versendet. Das 'return false;' im onClick verhindert, dass der Link tatsächlich aktiviert wird. Ein Bot kann, da er in den meisten Fällen kein JS kann, nur dem Link folgen und kommt somit wieder zur Eingabenseite, ohne etwas zu senden. Da das versteckte Feld 'versteckt' keinen initialwert hat, kann der Bot auch nicht einfach alle Feldinformationen sammeln und direkt an den Server schicken (also er kann nicht sagen: "ok, da sind die Felder 'name', 'eintrag', 'betreff', diese fülle ich mal und schicke sie über einen HTTP-Request direkt an den Server"...).
Die Änderungen in der pdp-Datei sind notwendig, da das Script darauf ausgelegt ist, mit Button zu arbeiten...

Hoffe, ich konnte ein wenig helfen!
Schöne Grüße aus dem Sauerland!
Chriss

Edit: Duddle war schneller^^, achja, das Capture sollte drin bleiben, bzw versuche ein anderes zu verwenden, das Bild ist noch sehr klar zu lesen!

 

[Sinane]

AW: Gästebuch mit php und java

 

[Momo22m]

AW: Gästebuch mit php und java

ja um das gb geht es es isse es sei sicher aber auch da kamm zu um tag 5 spams
danke für die erklarung ich werte das mal ausprobiren danke

 

[Doitsu]

AW: Gästebuch mit php und java

Die Loesung von Chris1987 wuerde ich nicht nehmen - ein Formular sollte m.M.n immer zu senden sein, auch wenn man kein Javascript aktiviert hat - was hier dann nicht der Fall waere, bzw. es in einem Fehler laufen wuerde.

Dazu laeuft das ganze Script auf das gleiche Ergebniss aus - weil wenn ich nun auf 'Vorschau' klicke, gibt es den key 'eintragen' in $_POST nicht, wenn ich auf 'eintragen' klicke, halt den 'preview' key nicht.. Somit ist es nur eine kleine unnoetige Javascript Erweiterung, die das ganze Benutzerunfreundlicher macht.

Desweiteren gehoert in einer Javascript-Datei kein <script>-Tag.

 

[Momo22m]

AW: Gästebuch mit php und java

ja aber da kann mannd och ein ein noscript rein machen oder aber da weiß ich nicht dann angrifft punkt für die bots ist

 

[cebito]

AW: Gästebuch mit php und java

3 Wochen ON und schon 300 Spameinträge - am Tag oder in der ganzen Zeit? Egal! Du musst was tun! Schau dir mal diesen Artikel hier an: WebDesign - Tips und Tricks: Captcha-Alternativen , vielleicht kannst du ja was mitnehmen. Musst ja nicht alles machen, aber eine Kombination von verschiedenen ausgewählten Überprüfungen sollte einen guten Schutz ergeben.

 

[Doitsu]

AW: Gästebuch mit php und java

Klar kannst du ein nonscript reinmachen, und was willst du da rein schreiben? 'Um das Formular absenden zu koennen, musst du Javascript aktivieren!' Da wuerde ich dann halt kein Gaestebuch Eintrag hinterlassen, wenn ich was sagen will wuerde mir ja immer noch eine e-Mailadresse zur verfuegung stehen, sofern eine angegeben wurde.. Wenn nicht, naja ..
Aber wie gesagt, vor spamm schuetzt die oben genannte Variante nicht, da es einfach nur eine Umschreibung des Quelltextes ist, aber ansonsten alles gleich bleibt.
Um dich vor Spam zu schutzen musst du halt ein Captcha rein machen, und evtl. auch eine IP-Sperre mit einbauen.

 

[cebito]

AW: Gästebuch mit php und java

Um dich vor Spam zu schutzen musst du halt ein Captcha rein machen, und evtl. auch eine IP-Sperre mit einbauen.

War letztens auf einer Seite wo mich das Captcha fast in den Wahnsinn getrieben hätte - sowas von verzerrt, das es selbst für einen (überdurchschnittlich) Normalsichtigen wie mich erst nach dem fünften neuen Captcha richtig war - und das nur, um einen Kommentar zu posten, der mir allerdings zum Thema sehr am Herzen lag. Sowas kann nicht angehen, mein oben geposteter Link zeigt Alternativen auf, die nicht vollständig sind, aber der Kreativität, Spam Einhalt zu gebieten freien Lauf lassen. Captcha war gestern - oder sollte es zumindest gewesen sein!

 

[Momo22m]

AW: Gästebuch mit php und java

War letztens auf einer Seite wo mich das Captcha fast in den Wahnsinn getrieben hätte - sowas von verzerrt, das es selbst für einen (überdurchschnittlich) Normalsichtigen wie mich erst nach dem fünften neuen Captcha richtig war - und das nur, um einen Kommentar zu posten, der mir allerdings zum Thema sehr am Herzen lag. Sowas kann nicht angehen, mein oben geposteter Link zeigt Alternativen auf, die nicht vollständig sind, aber der Kreativität, Spam Einhalt zu gebieten freien Lauf lassen. Captcha war gestern - oder sollte es zumindest gewesen sein!

ja das war altes gb script wo der capscher echt scheiße war und da waren die ganzen pots sieht ja keiner aber im admin center hatte ich ober 40 seiten das nervt ^^ ich versuche mal dein rat aus cebito und guck ob das hilft

@Doitsu ihn den noscipt konnte man capscher rein machen ^^ aber ich lass das erst mal und guck ob ich den capcher besser machen kann oder 2 Sicherheit rein baue mit eine rechen Aufgabe oder so ^^

mal gucken

Edit:

hab mir den Inhalt mal deuch gelesen hort sich interessant an nur ist das glaub ich nicht für noobs wert mal gucken ob ich das schaffe aber ob ich es ihn bekomme kein Plan

 

[Doitsu]

AW: Gästebuch mit php und java

@Doitsu ihn den noscipt konnte man capscher rein machen ^^ aber ich lass das erst mal und guck ob ich den capcher besser machen kann oder 2 Sicherheit rein baue mit eine rechen Aufgabe oder so ^^

Und wie soll ich dann das Formular aus den nonscript Bereich abschicken? Du muesstest dann eine voellig andere elseif-Bedinngung einbauen, was dann wieder darauf hinauslaeufft, dass es bleibt, wie es vorher war ..
Wie gesagt: bei der loesung mit dem Javascript passiert genau das gleiche, wie bei der mit den Inputs. Ich weiss zwar nicht, inwiefern Bots es verstehen, 'Links' zu klicken, statt ein Input. Allerdings kam das jetzt auch nicht so rueber, dass du Spam von Bots bekommen hast, sondern nur sinnlose Eintraege. Ansonsten als loesung fuer Bots gabs da ja doch 'ne Tolle Variante (eMail-Input auf 'display: none;' setzen), wenn in deinem Gaestebuch ein Input ist, wo man seine eMail einschreiben kann, musst du diesen dann natuerlich umbenennen, in emai_input, or something.

Ansonsten ich habe in meinem Forum folgenden Versuch, um Spams zu unterdruecken (hilft allerdings nur bedingt), Wenn jemand auf 'Antworten' bei mir klickt, wird ein Code in eine MySQL-Tabelle geschrieben, dieser Code bleibt 2 Stunden lang gueltig, in deisen 2 Stunden kann der User den Beitrag verfassen. Nach absenden des Post wird der Code wieder aus der Datenbank geloescht - somit ist schonmal das 'zurueck - neu absenden' problem geloest, da man keinen neuen Code bekommt, der, der durch das Formular mitgesendet wird, allerdings nicht mehr existiert. Was aber nicht geloest wird: Der User reloadet die Seite, und traegt es neu ein.. Ich weiss nun nicht wie Bots funktionieren, aber ich denk nicht, dass die staendig die Seite neu laden? Ansonsten koennte man das immer noch mit einer IP-Sperre verbinden (Was ich im GB durchaus fuer Sinnvoll halte). Dazu solltest du dann aber auch Cronjob einbauen, oder in der Seite selbst alle aelteren loeschen, wenn keine Cronjobs vorhanden sind, der die Datenbank von aelteren Codes wieder 'befreit. Da die sonst in laufe der Zeit ziemlich voll werden kann.

cebito:
Ich persoenlich mag auch keine Captchas, habe auch staendig mit einem zu tun, wo ich 2-3 versuche brauche, bevor ich das zu sehen bekomme, was ich sehen will (Hoch lebe Denic. v.v) .. wobei der jetzt vergleichsweise zu manch anderen Seiten noch relativ einfach ist ..
Allerdings bin ich der Meinung, dass es auf manchen Seiten wirklich Sinn macht, einen einzubauen .. Weil die besagten Methoden helfen eigentlich nur gegen Spambots, nicht aber gegen Menschen, die einfach nur 'Muell' hinterlassen. Ausser das, mit den Wortfilter.. Aber Wortfilter sind ja - wie auf der Seite schon beschrieben - schwer umzusetzen.

Edit:
Mir ist gerade noch eine Moeglichkeit eingefallen, 'dauerhaften' spam zu unterbinden, wenn das Gaestebuch auf MySQL-Basiert schreibst du einfach die IP mit in die MySQL-Tabelle (ich bin mir jetzt nicht sicher, meine aber mal gehoert zu haben, dass man IPs nicht mehr einfach so speichern darf - du muesstest die dann also zuerst verschluesseln), anschliessend holst du den letzen Eintrag von der IP und vergleichst diesen mit similar_text, wenn der Beitrag > 80% Aehnlichkeit hat, kannst du davon ausgehen, dass es Spam ist.

 

[Chriss1987]

AW: Gästebuch mit php und java

Die Loesung von Chris1987 wuerde ich nicht nehmen - ein Formular sollte m.M.n immer zu senden sein, auch wenn man kein Javascript aktiviert hat - was hier dann nicht der Fall waere, bzw. es in einem Fehler laufen wuerde.

Dazu laeuft das ganze Script auf das gleiche Ergebniss aus - weil wenn ich nun auf 'Vorschau' klicke, gibt es den key 'eintragen' in $_POST nicht, wenn ich auf 'eintragen' klicke, halt den 'preview' key nicht.. Somit ist es nur eine kleine unnoetige Javascript Erweiterung, die das ganze Benutzerunfreundlicher macht.

Desweiteren gehoert in einer Javascript-Datei kein <script>-Tag.

Hi,
ja, das ist ja richtig, dass das Formular nicht verschickt werden kann, wenn kein JS aktiviert ist. Hatte dem TO lediglich versucht zu zeigen, wie die Möglichkeit nach seinem Beispiel aussehen müsste.

Beim <script>-Tag hast du recht, aber ich hab ja geschrieben, dass man UNTER dem

<script type="text/javascript" src="functions.js"></script>

einen neuen Bereich einfügen soll, somit ist es ein Eintrag IN der HTML-Datei und mit den Tags richtig:

...
<script type="text/javascript" src="functions.js"></script>
<script type="text/javascript">
function sendeMeineEingaben(art)
{
    if (art == "send")
    {
        document.gaestebuch.versteckt.value = "send";
    }
    else
    {
        document.gaestebuch.versteckt.value = "preview";
    }
    
    document.gaestebuch.submit();
    return;
}
</script>

Normalerweise ist der Lösungsweg über ein Capture einigermaßen sicher, nur ist in diesem Fall das Capture zu schwach. Es ist halt schwierig, ein gut lesbares UND sicheres Capture zu erstellen. Ein Beispiel ist z.B. das Capture bei denic.de, weiß nicht, ob die das mittlerweile etwas "entschärft" haben, aber vor ein paar Wochen brauchte ich bei jeder Abfrage bis zu 3 Versuche, weil man es so schlecht lesen konnte...

Schöne Grüße aus dem Sauerland!
Chriss

Edit: @Doitsu: also bin ich mit dem Denic-Problem nicht alleine

 

[MrAzrael]

AW: Gästebuch mit php und java

also ich pack meine Captchas in Sessions, so umgeh ich das Problem mit JS wenn ein Bot die Session knackt steht er vor dem Problem mit der Zeit bis die Session abläuft und dem Floodfilter