it-swarm-eu.dev

Použití přechodných dat pro ukládání captchas

Jen jsem přemýšlel, jestli by něco takového fungovalo:

  • Na stránce se zobrazí formulář s kódem captcha.
  • Když je tento formulář generován, je přechodový nastaven na uložení kódu captcha.
  • Vistor podá formulář
  • Po odeslání $_POST['captcha'] se porovná s přechodem z databáze; je-li splněn návratnost, jinak neuspějete
  • Vymažte přechod

Co myslíš? Je to bezpečné?

2
Alex

Domnívám se, že i když by tato metoda mohla být bezpečná, existuje mnoho výhod, které spočívají v používání systému systému captcha, jak z hlediska bezpečnosti obrázků captcha/audio/médií, tak iz hlediska výkonu, jako je ukládání do mezipaměti. . Pokud používáte widget captcha, který je založen na JavaScriptu, například základní stránka generovaná programem WordPress by mohla být ve skutečnosti zcela uložena do mezipaměti jako statická stránka pomocí několika zásuvných modulů pro ukládání do mezipaměti. Pokud pokaždé generujete captcha v PHP, nebude to možné

Pokud se vydáte touto cestou, jednou věcí, kterou budete chtít také udělat, je také přidat skrytý nonce do formuláře, abyste se ujistili, že uživatel agent, který reaguje na captcha, je ten, kterého jste právě vytvořili. WP_nonce funkce WordPress vám může pomoci snadno to udělat. V opačném případě, pokud nechcete propláchnout přechody z captcha opatrně, je možné, že někdo tuto stránku uloží do paměti pomocí captcha a odezvu zašle jiný uživatel.

1
mitcho