CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede Slettet bruger
17. juli 2009 - 14:15 Der er 11 kommentarer og
1 løsning

Hvordan undgår jeg spam-indlæg? (part 2)

Jeg har en hjemmeside, hvor brugerne kan komme med indlæg (sparetips) men er begyndt at døje en del med spam-indlæg. Jeg har sikret formularen med javascript og med serverside-validering i php, men alligevel lykkes det at indtaste indlæg som f.eks.

qazlTP  <a href="http://puwzmjmnjlli.com/">puwzmjmnjlli</a>, nwyqotgmbepu, [link=http://zeqkrwwlgvsm.com/]zeqkrwwlgvsm[/link], http://voflhuoocroy.com/

Min kode mod uønskede tegn (>,<,[,],/,@,{,}) ser sådan ud :
if (!$error && ((stristr($_POST['tekst'], ">") == TRUE) || (stristr($_POST['tekst'], "<") == TRUE) || (stristr($_POST['tekst'], "[") == TRUE) || (stristr($_POST['tekst'], "]") == TRUE) || (stristr($_POST['tekst'], "{") == TRUE) || (stristr($_POST['tekst'], "}") == TRUE) || (stristr($_POST['tekst'], "@") == TRUE) || (stristr($_POST['tekst'], "/") == TRUE) || (stristr($_POST['tekst'], "www") == TRUE))) {
$error = 'Der kan ikke anvendes specialtegn, links eller HTML-kode i denne formular';
  }

...og det virker, når jeg selv tester med at indtaste specialtegnene. Hvordan kan det så lade sig gøre?
Avatar billede erikjacobsen Ekspert
17. juli 2009 - 15:07 #1
http://php.net/stristr afleverer aldrig TRUE

Men det kan jo være noget kode et andet sted i dit script.
Avatar billede Slettet bruger
18. juli 2009 - 10:27 #2
Hvad skal jeg så bruge istedet for stristr? Jeg forsøger bare at tjekke feltet "tekst" for nogle specielle karakterer...
Avatar billede erikjacobsen Ekspert
18. juli 2009 - 13:16 #3
Du kunne bruge http://php.net/stripos, men det er næppe problemet.
Avatar billede Slettet bruger
20. juli 2009 - 09:08 #4
Hvad er så problemet?
Avatar billede erikjacobsen Ekspert
20. juli 2009 - 09:59 #5
Jeg mener ikke, at det fremgår af den kode du viser her.
Avatar billede Slettet bruger
20. juli 2009 - 10:22 #6
Hele header-koden er her :
if ( $_POST['submit'] ) {
  $error = '';
  if ( !$error && $_POST['tekst'] == '' ) {
      $error = 'Udfyld venligst alle felter';
  }
    elseif (!$error && ((stristr($_POST['tekst'], ">") == TRUE) || (stristr($_POST['tekst'], "<") == TRUE) || (stristr($_POST['tekst'], "[") == TRUE) || (stristr($_POST['tekst'], "]") == TRUE) || (stristr($_POST['tekst'], "{") == TRUE) || (stristr($_POST['tekst'], "}") == TRUE) || (stristr($_POST['tekst'], "@") == TRUE) || (stristr($_POST['tekst'], "/") == TRUE) || (stristr($_POST['tekst'], "www") == TRUE))) {
$error = 'Der kan ikke anvendes specialtegn, links eller HTML-kode i denne formular';
  }
  if ( !$error ) {
  $tidspunkt=time();
$tekst2 = mysql_real_escape_string($_POST['tekst']);
mysql_query("insert into tips (tip, dato) VALUES ('$tekst2',$tidspunkt)");
header("Location:tak.php");
exit;
  }
}

..og placeret ved formularen i body-delen :
<?php if ( $error ) { ?>
<?=$error;?>
<?php } ?>
Avatar billede erikjacobsen Ekspert
20. juli 2009 - 10:56 #7
Ja, det ser også rigtigt ud - hvis der kommer spam indlæg så må der være et problem et andet sted.
Avatar billede Slettet bruger
20. juli 2009 - 11:09 #8
Det vil med andre ord sige, at det kode, jeg har her, sådan set er ok, men at "hullet" er et andet sted? Kan det tænkes, at "spammeren" bruger html special chars, altså f.eks. &#47 istedet for slash osv.?
Avatar billede erikjacobsen Ekspert
20. juli 2009 - 11:13 #9
Du kan jo se i din database, hvad der slipper igennem.
Avatar billede Slettet bruger
20. juli 2009 - 11:23 #10
Der er sluppet præcis det igennem, som der står i spørgsmålet, altså med slashes, kantede paranteser osv. Nu har jeg prøvet selv at indsætte &#47 i et indlæg, men det skrives i DB præcis sådan og laves altså ikke om til slash? Så jeg er blank...
Avatar billede erikjacobsen Ekspert
20. juli 2009 - 11:37 #11
"....så må der være et problem et andet sted. "
Avatar billede Slettet bruger
19. august 2010 - 17:05 #12
svar
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Andet sikkerhed kategorien

Titel Indlæg Oprettet Seneste aktivitet
Password sikkerhed Af jhjorsal i Andet sikkerhed 2 13/07/202413:12 13/07/202422:46
Automatisering af certifikat proces - Danske virksomheder Af Søren i Andet sikkerhed 1 29/05/202414:23 30/05/202409:03
VPN i forhold til facebook? Af Novice-1 i Andet sikkerhed 2 26/05/202412:09 26/05/202420:54
Fjerne adgangskode Af Geo" søster i Andet sikkerhed 4 25/04/202418:19 26/04/202422:46
Krypetring af USB -stick Af FinBalance i Andet sikkerhed 16 04/03/202412:39 08/03/202415:52
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 16:51 UNILOGIN i GOOGLE Af lao i Browsere
I går 10:07 Kan det gøres lettere Af densortehingst i Excel
01/0821:49 En app vækker mig om morgenen og giver en vejrudsigt - hvordan stoppe det? Af Philip Kuhlmann i Apps til Android
01/0821:28 visning af heltal som resultat efter beregning Af Brian_Skovgaard i Excel
01/0814:48 Microsoft Business - kan ikke logge ind Af Lasse i Office & Kontorpakker
White papers
Flere white papers »


Premium
Teaser billede
Nvidia efterforskes for brud på konkurrencelov
Læs mere »
Den store cloud-krig raser stadigvæk - og Amazon ser lige nu ud til at have overhånden
Apple præsenter første regnskab siden AI-udmelding: Her er tre bemærkelsesværdige pointer derfra
Sårbarhed kan let give administratorrettigheder til alle: Udnyttes allerede af ransomware-grupper
Se alle »
Computerworld
Teaser billede
Første test: Denne helt nye wunder-CPU vil du have i din næste laptop
Læs mere »
Alvorlig fejl i Intel-chips breder sig: Listen over ramte processor vokser og vokser – og de kan blive permanent beskadigede
’Apple Intelligence’ slippes løs: Her kommer første mulighed for at afprøve Apples kunstige intelligens
Flere statslige it-løsninger ramt af netværksproblemer - ansatte kunne ikke få mail-adgang
Se alle »
CIO
Teaser billede
Stor aftale gør Microsofts datacentre hurtigere - investerer i netværksudstyr
Læs mere »
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
NIS2 i Danmark udskydes med flere måneder: Her er den nye dato, hvor loven træder i kraft
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
KMD-direktør forlader selskabet: Det skal hun nu
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
SASE: Træf det rette valg – første gang
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »