[SPAM] 大家对防止SPAM有什么经验

HonestQiao

原帖由 geel 于 2006-5-18 22:05 发表
其实就是一个如何判断操作者是人还是机器的问题，但是既要做到体验流畅又要防止机器人，难

那就来一个智商测试！

geel

原帖由 HonestQiao 于 2006-5-18 22:12 发表



那就来一个智商测试！

智商小于60的不让提交……容易成被告，告你歧视，哈哈

artlover

还是用session的好
在浏览的时候设置当前页面的 id
发布回复的时候直接从 session 提取 id

imbiss

原帖由 artlover 于 2006-5-19 00:02 发表
还是用session的好
在浏览的时候设置当前页面的 id
发布回复的时候直接从 session 提取 id

这个能有用吗？？

按照我的已开始的想法，我已经实现了。2天试用下来，觉得效果不错。当然，正如前面几个高手说的，我那个措施只是骗自己的小伎俩。但是spam从每天的300多降为0了。
只是不知道，能维持多久。垃圾商针对这个措施再作修改，比如读取hidden input后在post，那我还要修改。

imbiss

说道智能测试，不过的确有人提出了一些基于验证码的方案。

比如
利用验证码做算术。 出来2个验证码，请回答他们的乘积或者和是什么。

还有一个博客，在数字验证码被破解，失效后，改为全中文验证码，效果不错。

人是活的，办法还是有的。

mikespook

说实话中文这个比较#$%#$%..................

有时出来的是那种生僻字～～都不认得～～就算认得，有时输入法里还没有～～有些BT～～

artlover

原帖由 imbiss 于 2006-5-19 04:07 发表

这个能有用吗？？

按照我的已开始的想法，我已经实现了。2天试用下来，觉得效果不错。当然，正如前面几个高手说的，我那个措施只是骗自己的小伎俩。但是spam从每天的300多降为0了。
只是不知道，能维持多久 ...

可以在显示文章的页面代码加一句

1. 
   
2. $_SESSION['article_id'] = 当前文章id
   

复制代码

在你页面底部的评论表单里面只设置标题和内容，FORM 的 action 也不要设置文章 articleid,
比如你发表评论的页面为 comment.php
你原来的可能是这样：

1. 
   
2. <form action="comment.php?articleid=当前文章id" method="POST">
   

复制代码

现在改为：

1. 
   
2. <form action="comment.php" method="POST">
   

复制代码

在comment.php中先验证 $_SESSION['article_id'] 是否存在，如果不存在的话就是没有浏览任何文章，说明是 SPAM ,重定向页面。

如果有的话，就是有效评论，执行操作即可。

geel

原帖由 artlover 于 2006-5-20 10:30 发表




可以在显示文章的页面代码加一句

1. 
   
2. $_SESSION['article_id'] = 当前文章id
   

复制代码

在你页面底部的评论表单里面只设置标题和内容，FORM 的 action 也不要设置文章 articleid,
比如你发表评论 ...

我spam之前先让机器人获得页面的所有header，然后spam的时候把所有header再给你，你怎么知道这个PHPSESSID是机器人给你的还是人类通过点按钮给你的？

axgle

phpsessid可以捕获然后再发送出去---浏览器本质上是程序.所以浏览起能做什么,则程序也就能够做什么(看上去似乎是废话).
spam要伪装的不彻底,则被认为是垃圾根据这个可以防止一部分spam.
有兴趣可以看看
Bad Behavior原理分析
http://axgle.com/?p=51

imbiss

谢谢楼上2位的建议。 的确用seesion是一个办法,但和其他hidden input一样, 都是暂时性的.不能抵御一些高级spam机器.

但是在没有一劳永逸的解决方案的情况下,经常修改input的方法算是个变通办法.
0.初级spam 通过IP,reffer,内容过滤来鉴别. 但从这几个因素现在已经很难了鉴别了.
1.如果spam程序是简单的 post,就增加几个hidden input
2.如果spam扫描form内容,获取所有input,就用 seesion
3.如果spam扫描head, 就用图形验证码
4. 如果spam还带有 OCR, 就出智力题