如何阻止垃圾邮件发送者将 http 输入到数据库表单中

Question

我有一个将信息发送到数据库表中的表单。我用 Javascript 检查了它，但是当 Javascript 关闭时，阻止垃圾邮件发送者使用 PHP 输入 http 等内容到数据库的最佳方法是什么？

Answer 1

您可以在表单上实施验证码：

http://en.wikipedia.org/wiki/CAPTCHA

编辑：也一定要验证服务器端的表单数据并像往常一样检查 html 标签等，但验证码应该有助于防止自动垃圾邮件攻击。

Answer 2

永远不要相信客户。始终验证服务器端的所有数据。用于表单验证的 JavaScript 只是一个附加功能。您可以从基本的 PHP 函数开始检查内容是否包含您不喜欢的某些字符串，例如。 “http://”。

if (strpos('http://', $_POST['message']) !== false) { /* refuse */ }

Answer 3

您可以使用CSRF保护来防止垃圾邮件发送者，我发现它非常有效。

它是什么和工作原理

另一种偷偷摸摸的方法是包含一个“蜜罐”字段 - 一个永远不应该与内容一起提交的隐藏字段。如果已满，您就知道这是垃圾邮件。这两种方法都不需要烦人的验证码。

Answer 4

有两件事需要考虑，应该并行实施（也许还有更多）。

1. 验证码（如前所述）
2. 在服务器端验证您的数据！你写的是你通过 javascript 来做到这一点。这很好，但同样的验证过程应该用 PHP 编写。

好吧，对于验证码，无论如何你都必须在服务器端进行验证。但即使您决定不实施验证码，您也应该在服务器端进行数据验证。

Answer 5

我建议在之前使用 htmlentities() 函数做你的插入。

显然，您的插入应该使用 参数化查询 进行交互数据库也是如此。验证码当然是一个选项，但它更多的是限制某人可以发布的频率，而不是他们可以发布的内容。使用 hmtl 转义（同样是 htmlentities() 函数）来防止用户输入您不想要的内容。