В общем, есть у меня, на мой взгляд, узкое место в проекте. Скрипт, допустим mailing.php обрабатывает входящие гет-запросы от клиента (аякс). Ну, и без аякса тоже он принимает Но проблема какая. На подписку, обычно, никто не ставит ни капчу ничего. Чисто проверка на валидность мыла и все. Так вот, если каким-нить скриптом жестко слать запросы с валидными майлами, он у меня естественно их будет писать. Стоит ли предохраняться вообще от этого? Или в этом есть какая-то угроза кроме раздувания таблицы БД? Если надо - то как правильнее?
я в интернете еще не видел капчу на подписку. :wink: с активацией на имейл еще не пробовал) взял на заметку. по делу, раньше ставил куки на машину клиента и принимал по одной записи в 1 час.
1). Проверять referer (защита от идиотов) 2). В форме добавлять скрытые поля перед отправкой, можно на JS (дабы не запально было - вешаем обработчик на событие onsubmit средствами JS, а не в HTML коде - труднее будет найти). 3). Ну и активацию по email.
Psih 1-2 2сек поверить. 3 - согласен. Надо прикрутить. Еще можно при каждой выдаче формы присваивать ей уникальный ИД, который хранить в сессии при. И проверять каждый раз
1. Не париться. Да, конечно, через этот скрипт можно заспамить реквестами валидные мылы... но кому это нужно? 2. Если хочется парится - анализировать количество запросов с одного IP или просто количество запросов пер секонд и если превышение лимита - выдавать капчу. Стандартная антибрутфорсовая защита.
Зы: все остальное вышеприведенное - фигня. Ибо раз кто-то поставит себе целью зафлудить скрипт, цепочка "запрос на страницу с формой - выкусывание id - отправка" будет не сильно сложнее в реализации.