PHP：防洪（蜜罐）[关闭]

Question

我有一个上传表单，我们正在内部使用它来允许客户上传他们的宽带设置照片（作为诊断检查的辅助），我目前正在考虑安全问题。

我最初认为如果在 X 分钟内上传超过 5 次的解决方案会详细禁止 IP，但当我想得更多时 - 我不需要那个。蜜罐技术还有效吗？ （通过 CSS 隐藏表单输入，如果有条目则作为垃圾邮件处理）。

您对尝试和减轻尝试上传假照片的用户的最佳方法有何看法，我想到了一个简单的 IP 禁令，这不会让机器人受到攻击，因为他们倾向于在每次攻击时更改其 IP，但它会停止大多数普通用户。

请记住，上传后的照片对用户是不可见的，它们只有在登录脚本之后对我们的员工可见。我不想在这样一个简单的系统上过分强调安全性——但我不想让普通用户很容易惹到我们。

Answer 1

虽然这是一个高度自以为是的问题，因此它不一定适合 StackOverflow，但我会就此提供我个人的意见/建议：

我建议结合使用临时 IP 块和 Google 的 reCAPTCHA（正如 Samuel 在 cmets 中提到的那样）。虽然这对用户来说是一个障碍，但它也是对抗自动垃圾邮件和自动上传的最有效方法之一。结合 IP 块，这将防止垃圾邮件机器人和恶意/烦人的人类用户，他们只想通过上传大量图片来淹没您的网站。

另外，请记住，reCAPTCHA 已经不再需要输入颗粒状的字母和数字。如今，用户只需单击一个复选框，偶尔选择一些包含某些项目/对象的图像。这仍然是一个障碍，但对于人类用户来说，这不会超过 5 到 15 秒（如果他们必须选择图像的话），并且它会阻止几乎所有自动机器人。

此外，我建议不要使用蜜罐技术。隐藏字段的工作原理是机器人仍然会填写隐藏字段，因为它不会运行 JavaScript，但这已经发生了很大变化。虽然仍然有一些机器人可能会喜欢它，但可以很容易地编写运行在网络浏览器上的机器人（它将执行 JavaScript 以隐藏“蜜罐”字段）并且只与页面上的可见元素交互。因此，这可能会阻止一小部分机器人，但我现在怀疑它的有效性。

当然，如上所述，这是高度自以为是的，因此您的里程可能会有所不同，其他用户可能会有不同的意见。