[PHP/(My)SQL] voor dummies - Deel 35

quote:

Op maandag 25 december 2006 12:57 schreef qu63 het volgende:

[..]

is checken op referrer dan niet het handigst

Nee, de referal header is hartstikke onbetrouwbaar en valt door mensen/spambots al net zo makkelijk mee te knoeien als men dat tegenwoordig met IP adressen doet.

spambots hebben ook geen sessies neem ik aan?

Ik heb eens een log bijgehouden en vanalles verzameld qua referer etc. Gastenboek bewust vol laten lopen met spam. Er is wel een tool te schrijven die patronen herkent en op basis daarvan bepaalt of het spam is of niet.

Maar dat zal wel een dure hobby worden qua tijd. Spammers zijn niet achterlijk en er valt wat te verdienen...

quote:

Op maandag 25 december 2006 20:55 schreef Swetsenegger het volgende:

[..]

Waarom al die moeite als een captcha je probleem oplost?

Wat geef jij je gemakkelijk gewonnen

Op zich zou het niet eens zo heel moeilijk moeten zijn hoor. Ik ben er niet mee verder gegaan omdat ik niet zo'n ster ben met regex. Het enige dat die spammerts willen is links / urls plaatsen in je gastenboek. En die vertonen voldoende gelijkenissen om een touw aan vast te knopen. In combinatie met andere opgevangen waarden. Uiteraard is niet één link hetzelfde, maar een patroon zit er wel in. Hetzelfde idee als een spam filter in een mailbox.
Hoe meer gelijkenis met een spammert,hoe meer punten je aan een post-onderdeel of $_SERVER[''] variabele toekent. Overschrijdt het een waarde is het spam.

Hét grote voordeel van een goede captcha is dat het 100% waterdicht is en relatief simpel. Maar het blijft irritant. Ik zie nu al captcha's verschijnen die voor mensen nauwelijks leesbaar zijn.

Wat er gezegd werd over variabele veldnamen, dat klinkt nog niet 100% logisch in min oren.
Spambots gebruiken inderdaad eigen formulieren die ze posten. Als je variabele veldnamen gebruikt, welke je van je invulformulier doorgeeft aan je formhandler middels een array in sessies of zoiets, hoe kan een spambot dan overweg met je formhandler? Immers, het kent de veldnamen niet.
En als de formhandler uitsluitend input accepteert van je invulformulier, hoe gaat een spambot hier dan mee om? Is overigens een serieuze vraag, geen betweterigheid dat dit zo zou zijn. Ik vraag het me gewoon af.

Voeren die spammers eigenlijk ook javascript uit?

quote:

Op maandag 25 december 2006 21:27 schreef SuperRembo het volgende:
Voeren die spammers eigenlijk ook javascript uit?

vaak niet, maar geheel uitgesloten is het niet

Ik heb ook nog een vraagje: weet iemand hoe ik speciale tekens zoals 'è' kan vervangen met een 'e' ?

@wipes
ik denk met een str_replace("é","e",htmlentities($string));

maar misschien dat je die htmlentities weg kan laten, afhankelijk van je input denk ik

maar nog ff over die forms eh..
als je nou een hidden field neemt met bijv name check. en je voert onderaan je pagina een javascriptje uit waarmee je dat field een waarde geeft van 'confirm'. dit betekent dus dat een spambot die niet op de pagina komt (dus een eigen formulier heeft als ik het goed begrepen heb) ook dit javascriptje niet uitvoert, en op die manier dus niet door de check kan komen?

minivraagje:

ik gebruik de volgende syntax:


en krijg de volgende melding:


om de een of andere reden wil hij me op de verkeerde server aanmelden?

als ik bij host iets als dit in vul:
//hostname.com:3306
krijg ik deze melding:
Warning: mysql_connect(): Unknown MySQL Server Host '//hostname.com' (11004) in d:\www\ffmpeg\test.php on line 42

Wie o Wie kan mij helpen om dit op te lossen?

ik probeer van mijn hoofd pc te verbinden naar mijn server (deze staat lokaal in hetzelfde netwerk)
en onder windows kan ik em gewoon benaderen via \\server

ow en een IP adres + poort heeft ook geen zin, evenals alleen IP adres of hostname...

Kan je via de command line wel naar je server connecten met mysql met die user? Als je dat niet kan lijkt het me dat je die user nog niet hebt aangemaakt binnen mysql.

quote:

Op woensdag 27 december 2006 02:31 schreef slakkie het volgende:
Kan je via de command line wel naar je server connecten met mysql met die user? Als je dat niet kan lijkt het me dat je die user nog niet hebt aangemaakt binnen mysql.

als ik start-> uitvoeren->cmd
telnet 10.0.0.180 3306
doe dan krijg ik het versie nummer van mysql terug en wat garbage
kan alleen niet inloggen omdat hij een handsake wil hebben

en de gebruiker bestaat 100% zeker en heeft voldoende rechten:
http://home.mschol.eu/fok/mysql.jpg

hmmm als ik dreamweaver wil laten connecten naar de mysql server krijg ik van dreamweaver een unindenitfied error terug..
d'r is dus iets niet lekker met mysql server...

[ Bericht 7% gewijzigd door mschol op 27-12-2006 08:27:48 ]

quote:

Op woensdag 27 december 2006 07:22 schreef mschol het volgende:

[..]

als ik start-> uitvoeren->cmd
telnet 10.0.0.180 3306
doe dan krijg ik het versie nummer van mysql terug en wat garbage
kan alleen niet inloggen omdat hij een handsake wil hebben

en de gebruiker bestaat 100% zeker en heeft voldoende rechten:
[afbeelding]

Al een FLUSH PRIVILEGES gedaan nadat je die user had aangemaakt?

quote:

Op woensdag 27 december 2006 08:11 schreef JeRa het volgende:

[..]

Al een FLUSH PRIVILEGES gedaan nadat je die user had aangemaakt?

nee, maar ik ben er volgens mij achter:
ik heb op me webhosting een php file met daarin een mysql_connect gedaan met username en wachtwoord en die werkte..
vervolgens gekopieerd naar me andere lokale bestand, die deed het vervolgens ook...
ben ik gaan vergelijken:
blijkt dat ik zat te werken met een verkeerd wachtwoord

was dus niet echt wakker

overigens weigert dreamweaver te connecten, maar dat zal ook iets simpels zijn..

[ Bericht 7% gewijzigd door mschol op 27-12-2006 08:34:11 ]

quote:

Op maandag 25 december 2006 22:34 schreef Desdinova het volgende:
@wipes
ik denk met een str_replace("é","e",htmlentities($string));

maar misschien dat je die htmlentities weg kan laten, afhankelijk van je input denk ik

maar nog ff over die forms eh..
als je nou een hidden field neemt met bijv name check. en je voert onderaan je pagina een javascriptje uit waarmee je dat field een waarde geeft van 'confirm'. dit betekent dus dat een spambot die niet op de pagina komt (dus een eigen formulier heeft als ik het goed begrepen heb) ook dit javascriptje niet uitvoert, en op die manier dus niet door de check kan komen?

Nogmaals, zoals Swetsenegger eerder al aangaf, waarom zo omslachtig en moeilijk liggen doen wanneer een captcha een effectieve én eenvoudige oplossing is? Sowieso zou ik Javascript echt niet gaan gebruiken wanneer het niet echt nodig is, maar goed, dat is gewoon hoe ik in het algemeen over Javascript denk.

Sowieso zou je oplossing niet werken daar je gewoon met een <input> werkt, of die nou hidden is of niet. Dan zou het gewoon voor het spambot 'formuliertje' een kwestie zijn om deze input zelf in te stellen.

quote:

Op maandag 25 december 2006 21:27 schreef SuperRembo het volgende:
Voeren die spammers eigenlijk ook javascript uit?

Ligt d'r aan hoe je 't bekijkt. Stel je hebt een pagina waar je formuliertje op staat, en waar ook een hoop JS op te vinden is, dan zou de spambot deze JS activeren als deze de pagina zou bezoeken. Meestal doen ze dat echter niet en gaan ze meteen voor de (_POST) procedure die jij voor je formulier hebt, dus dan komen ze niet voorbij de daadwerkelijke pagina.

quote:

Op woensdag 27 december 2006 07:22 schreef mschol het volgende:

[..]

als ik start-> uitvoeren->cmd
telnet 10.0.0.180 3306
doe dan krijg ik het versie nummer van mysql terug en wat garbage
kan alleen niet inloggen omdat hij een handsake wil hebben

Ik doelde meer op mysql -h hostname.com -u user -p vanaf je client naar je server.

Mmm. ik zie dat je de user ELKE wilt laten inloggen, met passwd, maar die heeft er geen. Denk dat daar je probleem ook zit.
-edit: dat gaf je ook aan, ik ben ook nog niet wakker-

quote:

Op woensdag 27 december 2006 08:54 schreef Tuvai.net het volgende:

[..]

Nogmaals, zoals Swetsenegger eerder al aangaf, waarom zo omslachtig en moeilijk liggen doen wanneer een captcha een effectieve én eenvoudige oplossing is? Sowieso zou ik Javascript echt niet gaan gebruiken wanneer het niet echt nodig is, maar goed, dat is gewoon hoe ik in het algemeen over Javascript denk.

Sowieso zou je oplossing niet werken daar je gewoon met een <input> werkt, of die nou hidden is of niet. Dan zou het gewoon voor het spambot 'formuliertje' een kwestie zijn om deze input zelf in te stellen.

een captcha is hinderlijk voor de user. hidden geeft als voordeel dat de user er totaal geen last van heeft. en de spambot zou zijn formulier dan met een exacte waarde moeten aanpassen op jouw site. en met een ander scriptje kan je dan weer dagelijks die waarde laten veranderen waardoor een succesvolle spambot dagelijks geupdate moet worden om het te kunnen omzeilen.

ik vind het een methode, en ik zie momenteel niet in hoe het niet zou kunnen werken. tenzij je geen javascript hebt ingeschakeld, maar das debiel.

ik vind ze hinderlijk.

helemaal als ze slecht leesbaar zijn en ook nog eens hoofdlettergevoelig.

quote:

Op woensdag 27 december 2006 22:51 schreef Swetsenegger het volgende:

[..]

Slecht leesbaar is om die OCR bots op het verkeerde been te zetten, maar ik ben met je eens dat die captcha's die je 3 keer in moet tikken omdat je het blijkbaar verkeerd ontcijferd had langzamerhand het doel voorbij schieten.

niet langzamerhand, zodra je em 1x mis kan tikken schiet het z'n doel voorbij imho...

quote:

Op woensdag 27 december 2006 23:28 schreef Swetsenegger het volgende:

[..]

Dat langzamerhand slaat op spamcontrol in het algemeen.

Feit is wel dat spamcontrol nodig is. Anders blijf je berichten aan het verwijderen.

quote:

Op donderdag 28 december 2006 01:19 schreef Swetsenegger het volgende:

[..]

Vertel mij wat. zelfs op mijn fucking weblogje waar geen hond naar keek.
Ik heb 50K records moeten wissen...

Ongeveer net als mijn weblogje dus. In een voorzichtige schatting komt nog steeds op bijna 95% van de reacties op spam uit.

quote:

Op woensdag 27 december 2006 20:50 schreef Desdinova het volgende:

[..]

een captcha is hinderlijk voor de user.

Het is voor mij veel 'hinderlijker' om elke dag duizenden spamberichtjes te verwijderen dan even 5 nummertjes/lettertjes over te tikken als ik toch al in het betreffende formuliertje bezig ben, effe tabben en overtikken dus.

quote:

Op donderdag 28 december 2006 15:17 schreef Tuvai.net het volgende:

[..]

Het is voor mij veel 'hinderlijker' om elke dag duizenden spamberichtjes te verwijderen dan even 5 nummertjes/lettertjes over te tikken als ik toch al in het betreffende formuliertje bezig ben, effe tabben en overtikken dus.

Jij bent geen gewone gebruiker. Je bent webmaster en hebt begrip voor die captcha's. De "gewone" gebruiker ervaart dit anders.

quote:

Op donderdag 28 december 2006 19:34 schreef beerten het volgende:

[..]

Jij bent geen gewone gebruiker. Je bent webmaster en hebt begrip voor die captcha's. De "gewone" gebruiker ervaart dit anders.

Doet er niet toe. Ik zie gewoon niet de 'hinder' in het overtikken van een paar karakters die ergens afgebeeld staan. Wel vind ik dat je als webmaster een linkje er bij moet zetten waar uitleg staat waarom ze die code over moeten tikken.

De meest simpele en effectieve methode die voor mij werkt is gewoon elke post waar in 1 van de velden "http://" staat te weigeren. Spammers willen immers URL's plaatsen, anders hebben ze niks aan het gespam. Ik pas dit op verschillende plekken toe, en heb totaal geen last meer van spambots

quote:

Op donderdag 28 december 2006 21:15 schreef Bartje71 het volgende:
De meest simpele en effectieve methode die voor mij werkt is gewoon elke post waar in 1 van de velden "http://" staat te weigeren. Spammers willen immers URL's plaatsen, anders hebben ze niks aan het gespam. Ik pas dit op verschillende plekken toe, en heb totaal geen last meer van spambots

En wat als ik, als doodnormale gebruiker, in jouw gastenboekje wil posten "Hoi Bart, gave site! Check die van mij ook eens op http://www.site.com!".