PHP Gästebuch

Guten Tag,
ich habe ein Problem mit meinem Gästebuch. Undzwar wollte ich einen Spamfilter einbauen. Bin bis jetzt gut gefahren. Bis ich gemerkt habe, das den noch Spam-Bots mein Gästebuch beballern.

Dann habe ich es selbst in die Handgenommen und getestet.
Trotz Abfrage kann man im Gästebuch irgend ein Quatsch einfügen bzw nix ausfüllen und er Trägt es ein. Selbst ein feld das "unsichtbar" ist und nicht ausgefüllt werden kann. Fülle ich das Feld aus, falle icha uf die Startseite *Logisch*

Dennoch trägt er den GB ein. Obwohl ich auf die Startseite gefallen bin.

Mein Script

PHP-Code:

<?php
session_start();
    require_once("db_con.php");
    require_once("gast.func.php");
    $zahl1 = rand(1, 9);
    $zahl2 = rand(1, 9);
    $ergebniss = $zahl1 + $zahl2;

if ($_POST['ok']) { //Wenn abgeschickt
    $name = htmlentities($_POST['name']);
    $mail = htmlentities($_POST['mail']);
    $homepage = htmlentities($_POST['homepage']);
    $eintrag = htmlentities($_POST['eintrag']);
    $datum = time();
    $captcha = $_POST['captcha'];
    if (!$_POST['anzeige']) {
        $anzeige = 0;
    } else {
        $anzeige = $_POST['anzeige'];
    }
   $sql = "INSERT INTO gast VALUES(null, '$name', '$mail', '$anzeige', '$homepage', '$eintrag', null, '$datum', '0', '0')";
    if($captcha == $_SESSION['captcha'])
    {mysql_query($sql); $fehler = "<b>Ihr Eintrag wird nach &Uuml;berpr&uuml;fung schnellstm&ouml;glichst freigeschaltet! </b>";}else {
        $fehler = "Fehler beim Rechnen<br />";
    } 

}

$_SESSION['captcha'] = $ergebniss;

?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <title>Cafe Beeg :: G&auml;stebuch</title>
    <meta http-equiv="content-type" content="text/html; charset=us-ascii" />
    <link href="css/style.css" type="text/css" rel="stylesheet" /><!--[if lte IE 7]>
        <style type="text/css">@import url(css/ie7.css);</style>
    <![endif]-->


</head>

<body>
    <div class='' id='top'>
        <a href="kontakt.php">Kontakt</a> <a>||</a> <a href="impressum.php">Impressum</a>
    </div>

    <div class='' id='wrapper'>
        <div class='' id='header'></div>
        <hr /><div id="abstand" ></div>
    <div id="menu">
<?php include 'navi.html';
?>
    </div>
        <div class='' id='content'>
        <h1>Unser G&auml;stebuch</h1><hr />
        <div class='' style="margin:auto; text-align:center" id='legend'><p>Eintr&auml;ge gesamt: <?php echo count_eintrage();
?> || Letzer Eintrag: <?php echo last_eintrag();
?> </p></div>
        <br />
        <!-- Neuer Eintrag -->

        <form style="width:400px; margin:auto; text-align:center;" class="gast" action="gastebuch.php" method="post">
            <div style="margin:auto; text-align:center">
                    <h2>Neuer Eintrag</h2><hr /><br />
                    <?php echo $fehler; ?>
                <label for="name">Name</label><input name="name" id="name" type="text" /><br />
                <label for="mail">E-Mail</label><input name="mail" type="text" id="mail" /><br />
                <label>In G&auml;stebuch anzeigen<input type="checkbox" name="anzeige" id="box" value="1"  /></label><br />
                <label for="homepage">Homepage</label><input name="homepage" id="homepage" value="http://www." type="text" /><br />
                <label for="eintrag">Eintrag</label><textarea class="gast" name="eintrag" id="eintrag" cols="" rows=""></textarea><br />
                <label>Kleine Rechenaufgabe: <?php echo $zahl1 . " + " . $zahl2 . " " . $fc;
?>
                </label><input name="captcha" type="text" /><br />
                <input id="reset" type="reset" value="Zur&uuml;cksetzen" /><input id="submit" type="submit" value="Abschicken" name="ok"/><br />
            </div>
        </form>
        <br />
        <hr />
        <div id="gast_ausgabe">

            <?php
$sql = "SELECT * FROM gast WHERE stat LIKE '1' ORDER BY datum DESC ";
$ergebniss = mysql_query($sql);

while ($row = mysql_fetch_row($ergebniss)) {

if($row[3] == 1){
    $mail = $row[2];
}
    $datum = @date("d.m.Y",$row[7]);
    echo "<div class='gastEintrag'><i>Name: ".$row[1] ."<br />E-Mail: <a href='mailto:".$mail."'>".$mail."</a><br />
    Homepage: <a href='".$row[4]."'>".$row[4]."</a><br />
    Datum: ".$datum."
    </i>
    
    <br /><br />
    ".$row['5']."<br /> <br />".$row[6]."
    </div>";
}

?>
        </div>

        </div>
        <div style="clear:both;" class="abstand"></div>
    </div>
</body>
</html>

Zitat:

Trotz Abfrage kann man im Gästebuch irgend ein Quatsch einfügen bzw nix ausfüllen und er Trägt es ein.

Bei mir nicht.

Zitat:

Selbst ein feld das "unsichtbar" ist und nicht ausgefüllt werden kann. Fülle ich das Feld aus,

Ich sehe kein hidden-Feld.

Zitat:

falle icha uf die Startseite *Logisch*
...
Dennoch trägt er den GB ein. Obwohl ich auf die Startseite gefallen bin.

Kannst du das mal in einem Deutsch erklären, das man auch versteht?

Peter

EDIT:

---

Eine Frage noch. Wie sieht bei dir die Einstellung für register_globals aus?

---

Hallo,
mein register_globals ist auf "On" getestet via phpinfo.php.

Das Hidden feld hatte ich mal Entfernt. Entschuldigung. Trotzdem habe ich immer noch einen Spamfilter eingebaut. Sprich die Rechenaufgabe. Wieso wird Sie nicht getestet? Es ist doch eine Session funktion die eigentlich funktionieren sollte.

Selbst ein neuer Captcha nützt bei mir irgendwie nicht. Habe schon mehreres ausprobiert. Irgendwo muss ich einen gewaltigen Fehler haben, den ich selber nicht finde.

Zitat:

mein register_globals ist auf "On" getestet via phpinfo.php.

Dann stell das mal gaaaaanz schnell wieder auf Off. Und wenn du bei einem Provider bist, dann wechsel den pronto!!!

Denn bei der Einstellung ist

PHP-Code:

if($captcha == $_SESSION['captcha']) 


immer wahr. Das heißt, die Bedingung greift, egal was man eingibt. Ohne register_globals auf On ist der Code korrekt.

Peter

Wenn ich einen eigenen Server habe wo es gehostet ist wo stelle ich es auf Off in der php.ini Datei?

Zitat:

Zitat von siriussmarty

in der php.ini Datei?

Ja.

Peter

Ich Sehe Keine Stelle wo er prüft ob die Werte Leer sind.
also irgendwie sowas

PHP-Code:

if(isset($_POST['meinname']) && trim($_POST['meinname'])!="") 


so als Minimum um sicher zugehen das da niemand x-mal auf den senden Button klickt und dann würde ich auch die E-Mail Adresse Validieren.

Hallo,
Spam-Bot's tragen immer etwas in die Formularfelder ein. Somit wäre so eine Überprüfung überflüssig.

Daher ahbe ich ja den Captcha. Ich muss nur schauen ob er funktioniert, wenn ich die PHP.ini das register_globals auf "On" stellen vielleicht funktioniert es dann. Da sage ich aber nochmal bescheid.

Liebe Grüße

Zitat:

Zitat von siriussmarty

Spam-Bot's tragen immer etwas in die Formularfelder ein.

Richtig, und das kann man sich zunutze machen. Suche mal nach Honeypot Spamschutz, da solltest du effektive Lösungen finden.

Hallo,
muss erst einmal meinen Hoster Kontaktieren wegen der php.ini Datei.
Denn das leere Formularfeld "Was nicht ausgefüllt werden darf" habe ich schon versucht. Habe das Hidden mal Entfernt so das es sichbar ist und habe versucht etwas einzutragen. Nachdem ich das Formularfeld absende, schießt er mich auf die Startseite ( Wie geplant ). Jedoch hat er den EIntrag durchgeführt.

Das ist mein Problem. Mal schauen wann ich das mit der rigister_gobals hinbekomme.

LG

Hallo, sorry für Doppelpost. Lag an der register_globals dies wurde auf OFF gesetzt und funktioniert nun. Danke für den Lösungsweg udn Fehlerbehebung. Echt cool

Hallo,
habe jetzt das Problemd as er mir immer die Fehlermeldung anzeigt. Also ist die Rechenaufgabe immer jetzt falsch...???

Zitat:

Zitat von siriussmarty

Hallo,
habe jetzt das Problemd as er mir immer die Fehlermeldung anzeigt. Also ist die Rechenaufgabe immer jetzt falsch...???

Nö, du hast mit Probleme mit sauberem Code. Schau doch mal, wo du $ergebnis setzt, wo du es in die Session einbaust und vor allem wie oft du das machst.

Peter

Guten Abend,
nachdem ich nun alles zu laufen bekommen habe sind immernoch die Spam-Bots unterwegs. Der Code ist sauber und funktioniert. Das schreckt aber die <Bots> nicht ab?

Eventuell noch eine weitere lösung?

Arbeite mit semantischen Fragen, so wie "was ist fünf plus drei in Worten?"

Peter