我目前正在处理一个网络项目,该项目正在收到垃圾邮件(评论框)。
我知道一些关于 sql 注入的知识,并且我尝试过转义 ( mysql_real_escape_string),即可能“损害”数据库的数据。
但没有成功。
我也尝试隐藏网站上的所有表单,但数据库(评论框)不断收到垃圾邮件。
数据不直接通过 url (get 或 post) 发送。所以我不知道还有哪里可能是问题所在。任何想法?
编辑
未发布表单中的文本区域(您的评论)。该表格目前已被删除,垃圾邮件仍在继续。因此,由于未按下“发送”按钮,因此验证码不是选项。评论仅适用于登录用户
谢谢,塞巴斯蒂安
mysql_real_escape_string不以任何方式防止注入。
没有单词“injection”、“harm”、“protection”或它的名字中的任何东西
这个函数只做字符串格式化。正确格式化的字符串虽然是无懈可击的,但还有其他类型需要自己的格式化,而字符串格式化对他们来说毫无用处。
至于垃圾邮件,做一个愚蠢的蜜罐:
添加一个名为“城市”的字段。并告诉人们不要填写它。
一旦它被填满 - 它是一个机器人,默默地丢弃消息(不要写像“Gotcha”,“你是机器人”这样的愚蠢横幅)。只是不要保存并保持其余部分相同
要回答已编辑的问题:
未发布表单中的文本区域(您的评论)。该表格目前已被删除,垃圾邮件仍在继续。
:)也
禁用表单处理程序不需要
表单来发表评论。它是一个表单动作脚本,它实际上完成了所有的工作。您可以保留表单,但要禁用发布,您必须禁用处理程序代码