在不打扰用户的情况下阻止 PHP 站点中的垃圾邮件

Question

我目前正在开发一个小型聊天/论坛网站，该网站是我在周末粗略设计的，它有匿名条目（即：没有用户名或密码）。 这看起来对于垃圾邮件发送者来说很容易毁掉，但我不想用验证码或类似的反垃圾邮件输入来打扰用户。

除了这些之外，还有其他用户看不见的替代方案吗？ 感谢您的帮助。

Answer 1

关于垃圾邮件发送者，您应该了解的一件事是，他们总是追求容易实现的目标。 与黑客相同。 我的意思是他们会选择最容易达到影响最多用户的目标。 这就是 PHP 和 Windows 漏洞经常被利用的原因：它们影响了如此多的用户，如果您发现这样的弱点/利用您的目标“市场”是巨大的。

这也是 Linux 和 Mac 操作系统相对不受病毒影响的一个重要原因，例如：目标市场远比 Windows 小。 现在，我并不将 Windows 的安全性和稳健性与 Mac/Linux 等同起来，但即使后两者的安全模型要好得多，针对前者的攻击数量仍然与它的缺陷不成比例。

我这样说是因为避免此类问题的最佳方法之一就是不要使用流行的软件。 例如，phpBB 仅仅因为它如此受欢迎就受到了很多攻击。

因此，通过创建自己的聊天/论坛系统，您会处于劣势，因为您的系统没有流行的现场测试功能，但您也有一个优势，因为它不值得大多数垃圾邮件发送者花时间来利用它。 因此，您需要注意的是自动化系统会对您产生什么不利影响。 网站上的联系表格往往具有可识别的标记（例如姓名、电子邮件和评论字段）。

所以我建议：

• 忽略将表单发送给用户后 5-10 秒内出现的响应；
• 使用蜜罐（CSS/JS 隐藏字段如其他地方所述）；
• 在适用的情况下使用 Javascript 来呈现、重新排序或显示表单；
• 使用不可预测的表单字段名称； 通过 IP限制
• 不良响应。

Answer 2

这不是一个防弹解决方案，但您可以有一些隐藏的输入字段。 如果这些不留空，那么您就发现了机器人。
机器人倾向于填写所有输入字段，而用户肯定会将他们看不到的字段留空。

Answer 3

这对我来说 100% 有效：

<input type="text" style="display:none" name="email" value="do not fill this in it is for spam catching" />

然后是服务器端（PHP）：

if($_POST['email'] != 'do not fill this in it is for spam catching') {
    // spam
}

如前所述，大多数机器人都会填写所有内容，尤其是名为“电子邮件”的输入。

Answer 4

验证码的想法是，它们对于人类来说很容易通过，但对于机器人等来说却很难避免。 如果您不想要这种解决方案，那么如何阻止这些垃圾邮件机器人向您的网站发布信息呢？

这就像您希望计算机安全，但不想使用防病毒软件和防火墙一样。

我认为您可以为每个进入您网站的用户创建一个会话，并在他们第一次想要发布内容时向他们显示验证码（不需要登录，只需传递验证码）。 如果他们通过了，只需在会话中存储一个标志，表明他们是人类。 只要他们打开浏览器，他们就可以在您的网站上发布和回复他们想要的内容。 机器人不太可能通过第一个测试。

Answer 5

有两类反垃圾邮件保护。

首先是让自动化机器人很难将数据无意中放入您的网站。 为此经常提到隐藏表单字段方法，该方法适合低流量网站。 这些保护措施可能会被为您的网站编写的垃圾邮件机器人轻易破坏。 但如果你的目标太小，这种情况就不会发生。

第二种是“烦人”类型。 这通常涉及验证码、注册或邮件确认邮件。 您可以使用一些方法来减少这种麻烦，但需要机器人方面付出更多的努力来发布垃圾邮件。

请注意，这两种方法通常都会妨碍残疾人和移动用户。