És könnyedén kijátszaható!
Session helyet mysql -be tárold IP és code párost
Tibor, csak kíváncsiságból megkérdezhetem, hogy a jelen tesztet hogy játssza ki valaki? Abból ítélve, hogy a session helyett SQL-t javasolsz gondolom ott lesz a gond, de nem bírok rájönni, hogy hogy vágja át a rendszert. Egy linket vagy kis szösszenetet megköszönnék! :)
G.
A legegyszerűbb webrobotok alapból nem küldnek sütiket, az össze tettebbek meg már szabályozhatóak.
Ha nincs süti és üres a $_POST["captcha_code"] akkár már is sikeresen kijátszotta,
de ha valaki spammelni akar a céloldalon, akkor rászán fél percet és már is látja hogy sütiben ott a kód, csak azt a párost kell küldeni...
De ha még MD5 -re átkonvertáljuk a sütit és ellenőrzéskor a captcha_code -t akkor is hamar rálehet jönni és legfeljebb küld saját sütiket, ezzel átverve a rendszert.
Míg ha kép generálásakor SQL -be tárolja a kódot, és IP címet.
Akkor mikor elpostolja a kódot csak egy sima slect kell, az IP és kód -al, ha van olyan sor akkor oké, ha nincs akkor nem oké.
Max hogy ne teljen be, 1 óránál régebbieket, illetve a felhasználtakat lehet törölni.
Heh, ez ügyes. Köszönöm az infót!
G.
Milyen sütiről beszélsz te?
Abban csak a session id van, magában a sessionben tárolt adatok a szerver oldalon maradnak, nem lehet őket kinyerni.
Az tényleg igaz, hogy üres kóddal kijátszható lenne a dolog, de ez ellen csak az if-be kéne még egy feltételt tenni és kész.
Mondjuk amúgy az ilyen egyszerűbb képes cuccokat már egész jól fel lehet ismertetni a gépekkel is, szóval nem feltétlenül biztonságosak.
Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!