Formulaire d'inscription piraté

[fabreizhad]

Bonjour,

J'aimerais savoir comment il serait possible de créer un formulaire dans une page sans que celui-ci ne soit utilisé à des fin de spamming. Sur la page "inscription" du site du club, j'utilise une script passant par un site intermédiaire.

http://www.rcnamur.be/

Ce site intermédiaire propose des services aux webmasters, parmi lesquels, un formulaire paramétrable. Une fois sur le site, il fonctionne très bien mais je reçoit une quantité phénoménale de fausse inscription.

Merci davance d'éclairer ma lanterne...

Fabreizhad ;-)

[Raideman]

Tu peux par exemple générer des codes que l'utilsiateur devra recopier pour valider l'inscription.
De base, il faut partir du principe que l'on peut "flooder" relativement facilement un formulaire et qu'il faut trouver des moyens "intelligents" qui ne valident pas l'inscription de robots.(codes à recopier, répondre à une simple équation mathématique genre pour valider l'inscription ecrire le résultat de 1+2 et d'autres moyens encore).

[Sub0]

http://fr.wikipedia.org/wiki/Captcha

http://www.cryptographp.com/

http://www.developpez.net/forums/sho...d.php?t=256635

Pour ma part, j'utilise une image assez facile à lire, de ce genre :



Et je limite le nombre d'inscription dans le temps pour une même IP ou pour une même adresse mail.

[fabreizhad]

Merci...

Je vais essayer cela dès demain et je vous tiens au courant...

Fabreizhad ;-)

[Sub0]

Attention à une chose importante concernant la sécurité (ce n'est pas évident à expliquer en plus) :

• L'utilisateur doit renvoyer la saisie de ce qu'il lit dans l'image, mais également un code fourni par le serveur. Ce-dernier permettra au serveur, de comparer le code saisi par l'utilisateur avec le code contenu dans l'image. Ce code se trouvera dans le formulaire dans un champs caché et sera donc renvoyer au serveur lorsque le formulaire sera validé. Il faudra mettre dans ce champs caché, le md5 d'un nombre aléatoire (uniqid) que tu sauveras aussi sur le serveur. De cette manière, seul le serveur pourra savoir que tel code aléatoire va avec telle image... tu me suis ?

• Bien entendu, il ne faut pas nommer l'image avec un nom se rapportant au code qu'elle contient. Il faut nommer l'image avec un nom aléatoire.

• Il faut supprimer l'image sur le serveur dès que le formulaire a été validé de façon à ce qu'une image ne soit valable que pour une seule saisie. Même si le code saisi par l'utilisateur ne correspond pas, il faudra supprimer l'image et lui en donner une nouvelle. Dans tous les cas, il faut bien faire attention à ce qu'une image de code ne soit valable qu'un certain temps et qu'elle soit supprimée dès la première comparaison.

• Dernière chose : Il est bien d'ajouter une fonction qui supprime les anciennes images des inscriptions non validées. Il faut nettoyer le dossier lorsqu'une image est créée. Par exemple, faire le ménage dans le dossier "tmp" des fichiers de plus de 10 minutes :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
function NettoyageTmp(){
  $dirname='tmp/';
  if(!@is_dir($dirname)) return false;
  @chdir($dirname);
  $dossier=@getcwd(); 
  if($handle=@opendir($dossier)){
    while(($file=@readdir($handle))!==false){
      if((@filectime($file)+(10*60)-time())<=0){
        @chown($file, 'root');
        @chgrp($file, 'root');
        @chmod($file, 0777);
        @unlink($file);
      }
    }
    @closedir($handle);
    return true;
  }
  return false;
}

Si tu as besoin de plus d'explications, pose-nous des questions précises.
Bon courage, à+