input type=file спамят

[Василий М.]

в шаблоне:

<form target="iframe" action="/thumbnail/thumbnail/" enctype="multipart/form-data" method="post">
<input id="file" type="file" onchange="thumbnail_upload(this)" name="file">
<!-- кнопки submit нет -->
</form>

в js:

function thumbnail_upload(_this){
     //...
     _this.form.submit();
}

За день от 40 до 80 картинок не привязанных к сущностям (поле advert_id в NULL). Сначала думал косяки в программировании, потом понял, что спамят - картинку загружают, а капчу обойти не могут. Пришлось даже cron обработчик написать, который удаляет их.

Одного понять не могу - как роботы инициализируют загрузку? они js понимают?

Как защититься от этого?

 

[флоппик]

одного понять не могу - как роботы инициализируют загрузку? они js понимают?
как защититься от этого?

всякие хрумеры давно понимают.
100% варианта нет, как правило.

 

[Yoskaldyr]

полная генерация html-кода формы немного защищает от спамеров (и то не всегда), но в данном случае, когда вся форма сразу есть на странице, а только сабмит через js, это понимают все спам программы.

 

[флоппик]

А, ну в твоем случае то не нужна поддержка js же, достаточно распарсить форму и отправить пост запрос же

 

[Andkorol]

картинку загружают, а капчу обойти не могут.
...
Как защититься от этого?

Грузить картинку после прохода каптчи.
Или автоматом удалять картинки без advert_id при каждой загрузке новой картинки.

 

[Василий М.]

Грузить картинку после прохода каптчи.

нет, это прошлый век

Или автоматом удалять картинки без advert_id при каждой загрузке новой картинки.

каждые 6 часов удаляю сейчас... мне не нравится что автоинкремент бесполезно растет у таблицы с картинками.

 

[Redjik]

не пиши сразу в таблицу - пиши в сессию

 

[флоппик]

Сделай обязательный токен, добавляй в форму, а то и грузи его аяксом. От бота, нацеленного конкретно на тебя - не поможет, но от автоматов скорее всего - вполне.

 

[fixxxer]

токен аяксом в урл пихать и рубить nginx-ом через secure_link - тогда до тела запроса даже дело не дойдет

 

[fixxxer]

как роботы инициализируют загрузку? они js понимают?

зачем?

<form target="iframe" action="/thumbnail/thumbnail/" enctype="multipart/form-data" method="post">
<input id="file" type="file" onchange="thumbnail_upload(this)" name="file">
<!-- кнопки submit нет -->
</form>

input type=file есть, form action есть, что еще надо?

 

[Вурдалак]

Так кнопки нет, куда робот жмакать будет?

 

[Василий М.]

т.е. надо form action попробовать динамически подставлять, дя?

 

[Василий М.]

вот этот урод долбится все время -

 

[fixxxer]

По IP вычислил?

 

[Вурдалак]

вот этот урод долбится все время

Тебя интересует его личная жизнь?

 

[Василий М.]

По IP вычислил?

нет его фотка загружается мне на диск ))

 

[Andkorol]

Скорее всего, на картинке андрей салаур

 

[AmdY]

Нет, наверное это наш забавный пхп гуру, а то что-то он активность свою прекратил. Мы его даже обижать перестали к тому моменту.

 

[Василий М.]

вчера до 4 ночи выкатывал новую ветку и правил баги.
вот это НЕ ПОМОГЛО:

function thumbnail_upload(_this)
{
_this.form.action = "/thumbnail/thumbnail/";
//...

 

[флоппик]

вчера до 4 ночи выкатывал новую ветку и правил баги.
вот это НЕ ПОМОГЛО:

Попробуй как-нибудь сделать что-то из того, что посоветовали, для разнообразия.