problemas de spam en mi form

charlescuella · #1 (**permalink**) 12/07/2011, 06:48

hola amigo tengo un sitio de avisos sencillo en donde solo debe poner tu aviso y este se publica va muy bien pero anoche a empezado apareces una serie de avisos en ingles y cada rato los elimino y vuelven a aparecer e incluso he deshabilitado para publicar y aun asi se publican que debo hacer para evitar eso, no se quien sea la persona o codigo que haga esto pero me esta jodiendo

espero que me hechan la mano

iviamontes · #2 (**permalink**) 12/07/2011, 07:03

lo que no entiendo es como si está deshabilitado siguen publicando.

GatorV · #3 (**permalink**) 12/07/2011, 07:05

Sin ver el código que utilizas es imposible que adivinemos eso.

charlescuella · #4 (**permalink**) 12/07/2011, 07:06

si se veo q tengo dos form uno en el index y el otro en la categoria de ciudades ahora están deshabitados pero aun asi se siguen publicando los avisos en ingles la web en cuesntaion es avisoya com te agradecería tu ayuda

Cita:

Iniciado por GatorV

Sin ver el código que utilizas es imposible que adivinemos eso.

que parte del codigo te muestro? en si es un simple formulario que va por POST a otra web en donde hace el insert a la bb
gracias por tu tiempo

iviamontes · #5 (**permalink**) 12/07/2011, 07:17

pon el código de tu procesamiento del formulario
dices que va por POST a otra web ????

charlescuella · #6 (**permalink**) 12/07/2011, 07:20

Código PHP:

Ver original<form  action="publicar.php" method="post" enctype="multipart/form-data" name="form" class="general" id="form" style="" onsubmit="return checar();">
        <div id="charLeft"></div>
      <h2>Anuncia ya, Deja tu  ubicacion detalle y dato de contacto en 360 caracteres :)</h2>
      <p>&nbsp;</p>
      <table width="300" border="0" align="center">
  <tr>
    <td width="148"><input name="opcion" type="radio" id="opcion_0" onclick="cambiar_opcion(this)" value="solo texto" checked="checked" />
    Solo Texto</td>
    <td width="136"> <input type="radio" name="opcion" onclick="cambiar_opcion(this)" value="con imagen" id="opcion_1" />
      Con Imagen</td>
  </tr>
</table>
      <span id="sprytextarea1">
      <label for="clasificados"></label>
      <textarea name="clasificado" id="clasificado" cols="20" rows="8">Deshabilitado Temporalmente</textarea>
      <span id="countsprytextarea1">&nbsp;</span><span class="textareaMaxCharsMsg">Exceeded maximum number of characters.</span></span>
      
      <span id="spryselect1">
  <label for="categoria"></label>
  <select name="categoria" id="categoria">
    <option value="">Selecciona tu categoria</option>
    <?php
do {  
?>
    <option value="<?php echo $row_categorias['categoria']?>"><?php echo $row_categorias['categoria']?></option>
    <?php
} while ($row_categorias = mysql_fetch_assoc($categorias));
  $rows = mysql_num_rows($categorias);
  if($rows > 0) {
      mysql_data_seek($categorias, 0);
      $row_categorias = mysql_fetch_assoc($categorias);
  }
?>
  </select>
  <span class="selectRequiredMsg">Please select an item.</span></span>
   
      <input style="display:none;" id="imagen" name="imagen" type="file">      
      <input type="submit" value="Publicar Anuncio">
  </form>

ese es el codigo del form

actualmente el action="publicar.php" esta en blanco en ves de publicar.php

GatorV · #7 (**permalink**) 12/07/2011, 07:22

Es mejor que dentro de publicar.php pongas un die() al inicio del script ya que aunque no le pongas un action al form, por lo general los bots ya saben a que script apuntar.

Para solucionar lo que quieres debes de implementar un código CAPTCHA y también evitar que te hagan posts desde webs externas y que solo lo hagan desde una interna, esto se le conoce como validacion CSRF.

Saludos.

iviamontes · #8 (**permalink**) 12/07/2011, 07:33

GatorV a ver si entiendo, si pone un exit() en el archivo que procesa el formulario, como lo va a procesar si lo pone al principio ?
y si lo pone al final pues no podrá hacer el redireccionamiento

GatorV · #9 (**permalink**) 12/07/2011, 07:35

Es para "apagar" el publicar temporalmente, simplemente por quitar el action del form no va a ayudar en nada.

charlescuella · #10 (**permalink**) 12/07/2011, 07:37

fijate en mi publicar como lo ves que le faltaria en donde iria lo del die()

Código PHP:

Ver original<?
//Conexion con la base
$conexion= mysql_connect("localhost","userr","pass"); 
 
//selección de la base de datos con la que vamos a trabajar 
mysql_select_db("nombrebd"); 
 
//variable clasificado 
$nombreclasi = $_POST["clasificado"]; 
 
$nombreclasi=str_replace(array('(','\'','´','{','}','+','´','*','¨','[',']','%','-','ç','&','/','\ ','%','\$','#','"','!','?','¡',':',';',')'),'',$nombreclasi);
 
//variable imagen
$nombre_archivo = $_FILES["imagen"]["name"];  
$tipo_archivo = $_FILES["imagen"]["type"];  
$tamano_archivo = $_FILES["imagen"]["size"];
 
//corto el texto hasta 50
$nombreclasi2 = $nombreclasi; 
 
$nombreclasi2= substr(str_replace(" ", "-", $nombreclasi2), 0,50);
$categoria = $_POST["categoria"];
 
//Fecha actual
$fecha = date("Y-m-d H:i:s");
$fecha1 = date("d");
 
//Fecha vencimiento
$fecha_exp = date('Y-m-d H:i:s', strtotime('+3 month' . $fecha));
 
 
 
//compruebo si las características del archivo son las que deseo  
 
if (!empty($_FILES['imagen']['name'])) {
    if (!((strpos($tipo_archivo, "gif") || strpos($tipo_archivo, "jpeg") || strpos($tipo_archivo, "png")) && (    $tamano_archivo < 20000000))) 
{  
    echo "La extension o el tamano de los archivos no es correcta. <br><br><table><tr><td><li>Se permiten archivos .gif o .jpg<br><li>se permiten archivos de 2 Mb maximo.</td></tr></table>"; 
?>
          <script language="JavaScript" type="text/javascript"> 
        setTimeout("url()",3000); 
        function url() 
        { 
        window.history.back(); 
        } 
            </script>
          <?     
}}else {//Ejecucion de la sentencia SQL
 
$sql = "INSERT INTO clasificados (clasificado,nombreclasi,fecha,fecha_exp,categoria,imagen) VALUES ('$nombreclasi','$nombreclasi2','$fecha','$fecha_exp','$categoria','$nom_img')";
 
 if(mysql_query($sql,$conexion)){ 
//obtenemos el ID del ultimo registro y hacer header 
$id_clasi = mysql_insert_id();
 
 
header("location:".$nombreclasi2."_".$id_clasi); 
}else{
echo 'error en la consulta: '.mysql_error();
}}
 
    $nom_img = "avisoya.com-".$fecha1.$nombre_archivo;  
    
     
    $directorio = 'imgcl'; 
 
    if (move_uploaded_file($HTTP_POST_FILES['imagen']['tmp_name'],$directorio . "/" . $nom_img)) 
    {  
        
//Ejecucion de la sentencia SQL
 
$sql = "INSERT INTO clasificados (clasificado,nombreclasi,fecha,fecha_exp,categoria,imagen) VALUES ('$nombreclasi','$nombreclasi2','$fecha','$fecha_exp','$categoria','$nom_img')";
 
 if(mysql_query($sql,$conexion)){ 
//obtenemos el ID del ultimo registro y hacer header 
$id_clasi = mysql_insert_id();
 
 
header("location:".$nombreclasi2."_".$id_clasi); 
}else{
echo 'error en la consulta: '.mysql_error();
}
 
}
 
 
?>

he acado de eliminar del hosting el archivo de publicar.php haber si aun asi publican avisos basuras, vamos haber si aun sigue en este rato ya he borrado como 20

iviamontes · #11 (**permalink**) 12/07/2011, 07:39

ahhh, era para pararlo ahora, no es que se tenga que hacer como medida de seguridad
que despistado que soy...

como medida de seguridad siempre hago lo que dice GatorV, el captcha, nuca había visto lo de validacion CSRF, algo a tener en cuenta a partir de ahora

iviamontes · #12 (**permalink**) 12/07/2011, 07:39

lo puedes poner al inicio del archivo

charlescuella · #13 (**permalink**) 12/07/2011, 07:43

iviamontes como seria entonces ? que debo poner en mi codigo de publicar
gracias por el tiempo

iviamontes · #14 (**permalink**) 12/07/2011, 07:48

Código PHP:

  <?php

die();

//Conexion con la base
$conexion= mysql_connect("localhost","userr","pass"); 
*
//selección de la base de datos con la que vamos a trabajar 
mysql_select_db("nombrebd"); 
*
//variable clasificado 
$nombreclasi = $_POST["clasificado"]; 
*
$nombreclasi=str_replace(array('(','\'','´','{','}','+','´','*','¨','[',']','%','-','ç','&','/','\ ','%','\$','#','"','!','?','¡',':',';',')'),'',$nombreclasi);
*
//variable imagen
$nombre_archivo = $_FILES["imagen"]["name"]; *
$tipo_archivo = $_FILES["imagen"]["type"]; *
$tamano_archivo = $_FILES["imagen"]["size"];
*
//corto el texto hasta 50
$nombreclasi2 = $nombreclasi; 
*
$nombreclasi2= substr(str_replace(" ", "-", $nombreclasi2), 0,50);
$categoria = $_POST["categoria"];
*
//Fecha actual
$fecha = date("Y-m-d H:i:s");
$fecha1 = date("d");
*
//Fecha vencimiento
$fecha_exp = date('Y-m-d H:i:s', strtotime('+3 month' . $fecha));
*
*
*
//compruebo si las características del archivo son las que deseo *
*
if (!empty($_FILES['imagen']['name'])) {
* * if (!((strpos($tipo_archivo, "gif") || strpos($tipo_archivo, "jpeg") || strpos($tipo_archivo, "png")) && ( * *$tamano_archivo < 20000000))) 
{ *
* * echo "La extension o el tamano de los archivos no es correcta. <br><br><table><tr><td><li>Se permiten archivos .gif o .jpg<br><li>se permiten archivos de 2 Mb maximo.</td></tr></table>"; 
?>
* * * * * <script language="JavaScript" type="text/javascript"> 
* * * * setTimeout("url()",3000); 
* * * * function url() 
* * * * { 
* * * * window.history.back(); 
* * * * } 
* * * * * * </script>
* * * * * <? * * 
}}else {//Ejecucion de la sentencia SQL
*
$sql = "INSERT INTO clasificados (clasificado,nombreclasi,fecha,fecha_exp,categoria,imagen) VALUES ('$nombreclasi','$nombreclasi2','$fecha','$fecha_exp','$categoria','$nom_img')";
*
*if(mysql_query($sql,$conexion)){ 
//obtenemos el ID del ultimo registro y hacer header 
$id_clasi = mysql_insert_id();
*
*
header("location:".$nombreclasi2."_".$id_clasi); 
}else{
echo 'error en la consulta: '.mysql_error();
}}
*
* * $nom_img = "avisoya.com-".$fecha1.$nombre_archivo; *
* * 
* * *
* * $directorio = 'imgcl'; 
*
* * if (move_uploaded_file($HTTP_POST_FILES['imagen']['tmp_name'],$directorio . "/" . $nom_img)) 
* * { *
* * * * 
//Ejecucion de la sentencia SQL
*
$sql = "INSERT INTO clasificados (clasificado,nombreclasi,fecha,fecha_exp,categoria,imagen) VALUES ('$nombreclasi','$nombreclasi2','$fecha','$fecha_exp','$categoria','$nom_img')";
*
*if(mysql_query($sql,$conexion)){ 
//obtenemos el ID del ultimo registro y hacer header 
$id_clasi = mysql_insert_id();
*
*
header("location:".$nombreclasi2."_".$id_clasi); 
}else{
echo 'error en la consulta: '.mysql_error();
}
*
}
*
*
?>

recuerda que esto es solo para deshabilitar el formulario, no lo puedes dejar así después, tu seguridad estaría en lo que te dice GatorV

charlescuella · #15 (**permalink**) 12/07/2011, 10:27

q captcha recomiendan
http://craftyman.net/captcha-con-php/

busco uno sencillo q no ocupe demasiado espacio

GatorV · #16 (**permalink**) 12/07/2011, 10:30

Una de las mejores implementaciones es reCaptcha.

charlescuella · #17 (**permalink**) 12/07/2011, 10:34

GatorV y a ese se le puede disminuir el tamaño ps es muy grande?
gracias por tu ayuda

GatorV · #18 (**permalink**) 12/07/2011, 10:38

¿A que te refieres con el tamaño? Es un servicio externo...

caricatos · #19 (**permalink**) 12/07/2011, 10:46

Hola:

Verás, yo tengo un captcha casero pero funciona bien, e incluso así me han spameado mi sistema de comentarios (ahora mismo lo hacen a otra de mis páginas), y tuve que ampliar el sistema con una activación por email.
Obligas a que pongan un email válido, pero para que se muestre el mensaje solo vale que miren el correo y accedan a una página de activación (aquí lo comento: Ponga comentarios en su web. Otra opción que acabo de implementar es activar el mensaje por tareas administrativas del webmaster (yo); que no es tan inmediato pero no obligas a proporcionar datos que puede que no quieran dar... pero debes crear esa página de "tareas administrativas"; por ejemplo con un simple loguin que cree una simple variable de sesión del tipo $_SESSION["admin"] = "yo mismo"...

Saludos

charlescuella · #20 (**permalink**) 12/07/2011, 11:07

GatorV disculpa yo hablo del aspecto visial del reCaptcha ps mi idea es q se vea el desiño algo minimalista y ps esta recaptcha veo q es algo grande de unos 300px x 200px apro yo busco uno mas peqño para me encaje de 200px a 150px este reCaptcha de puede editar el tamaño y diseño?

gracias por tu tiempo

oye otra duda hay alguna forma de poder detectar quien o de donde es el spam q generaron en mi web?

GatorV · #21 (**permalink**) 12/07/2011, 11:14

Pues guarda la IP para que sepas de donde viene el spam que te insertaron, y asi también puedes discriminar y evitar aunque no es una buena protección.