Comentarios en: Evitar spam en formularios PHP

Por: Oscar Reales

Wed, 18 Jun 2008 08:55:32 +0000

Si utilizas un formulario para insertar datos en una base de datos, las precauciones han de extremarse para evitar ‘SQL injections’, que basicamente consiste en la introducción a través del formulario de datos maliciosos que rompan o vulneren o cambien el comportamiento de tu aplicación y tu integridad de datos. Sin entrar en muchos detalles, porque eso sería tema para un post en si mismo, pero básicamente siempre tienes que filtrar y validar los datos introducidos por el usuario. Filtrar para limpiar caracteres de escape como las comillas, segundo validar, para asegurarte que los datos introducidos se ajustan a los que tu aplicación espera, y muy importante, “escapar” los datos antes de introducirlos a la BBDD. Esto es, convertir los caracteres maliciosos como las comillas, barras, punto y coma, etcc, a un equivalente xhtml o encerrados entre comillas para que no puedan romper tus sentencias SQL. Espero haberte dado alguna “idea” genérica de las precauciones a tomar.

Por: Alberto

Wed, 11 Jun 2008 17:40:30 +0000

El tema que tratáis aquí es muy importante, sin embargo me gustaría preguntar: cuando el formulario está conectado a una base de datos en lugar de a una dirección de correo, ¿qué precauciones conviene adoptar?

Por: Hugo

Mon, 31 Mar 2008 05:39:23 +0000

que tal este: Asumiendo que la direccón legítima a la que se desea enviar el correo sea pollo@dominio.com

//… todo el cod. del form
if ($destinatario != “pollo@dominio.com”){
echo “te pille manoseando mi form”;
}else{
// código que envia el form…

Por: Gonzalo

Tue, 30 Oct 2007 23:12:24 +0000

Es muy interesante todo y trate de leerlo con mucha atención pero sigo sin entender NADA!!
estoy sufriendo en este momento de este problema y no se donde meter los cambios que proponene para evitar el “injection” me levantaron el formulario del servidor por estar enviando SPAM… les dejo el PHP para ver si algun alma caritativa me dice como modificarlo, (es evidente que de PHP, … nada)

mil Gracias a todos !!!!!!!!!!!!!

Por: Lorena

Mon, 20 Aug 2007 02:34:39 +0000

Disculpen, pero yo recién estoy empezando y no quisiera que esto me pasara, así que para evitar confusiones. Podrían poner directamente cómo quedaría el formulario con las modificaciones para evitar el spam? o si la verificación va en otro lado, dónde sería? Muchas gracias.

Por: luison

Sun, 12 Aug 2007 16:42:50 +0000

Introducir un poco de PHP que requiera el envío de un post siempre es una buena solución. Sin necesidad del captcha ahora se estila también el poner preguntas sencillas de lógica o texto que hagan mostrarse los emails… tipo “3 5″ o “Escribe mostras emails”. En este link hay un codigo sencillo de manejar:
http://mikecherim.com/gbcms_xml/news_page.php?id=17#n17

Por: develooping

Sun, 12 Aug 2007 16:29:36 +0000

Hola Jorge. No estoy muy seguro de que el método que propones sea muy eficaz. Al menos no es a prueba de fuego y es sencillo de engañar.
De todas formas, aunque insisto en que no me parece fiable, es también muy sencillo hacer lo que dices y modificar cualquier script para enviar e-mail con PHP para que no lo haga si se ha mandado un valor cualquiera en un campo oculto que hemos puesto como “trampa” (¿He dicho ya que no me parece un método seguro?)

Si el campo oculto se llama “address” con el valor “el_jefe@de_esto.com” (nota que le pongo un nombre que pretende reforzar el engaño), sería simple colocar una condición para que en caso de que ese campo me llegue con valor distinto, no procese el formulario. En este caso bastaría con añadir a cualquier script PHP que procese y envíe lo siguiente
if(€_POST['address']!="el_jefe@de_esto.com"){ //el campo viene relleno echo "ay, ay, ay, pichoncillo"; }else{ //aqui va el código que procesa el formulario /////THE END }

Nota que que usado el signo del euro en lugar del dolar, pero es que no conseguía que Wordpress se lo tragara sin rechistar. Será que no querrá que use el formulario para inyectar scripts ;-). Claro que tal y como está el cambio sales ganando

Por: Jorge RR

Sat, 11 Aug 2007 16:10:34 +0000

Hola.
Sufro del mismo problema que muchos han declarado aqui. Soy diseñador web y no tengo un conocimiento muy avanzado en programación. Buscando en la web vi diversas maneras de evitar el spam en formularios y encontré una que parecia interesante: ocultar un campo de formulario que las personas no puedan ver para generar un filtro, ya que los spambots rellenan todos los campos (visibles o no visibles). Esto es interesante porque rápidamente determinas si el formulario fue llenado por una persona o por un robot. La pregunta que tengo es: alguien conoce un script en PHP para determinar que si el mencionado campo fue llenado, no se procese la solicitud de post o se descarte el mensaje?
Gracias anticipadas!
Saludos!!

Jorge

Por: develooping

Mon, 04 Jun 2007 21:26:08 +0000

Hola Juan.
Posiblemente el método que cuentas pueda evitar de forma más que razonablemente segura que se reenvíe un formulario, de hecho se parece mucho a lo que indiqué en el comentario 23, pero no necesariamente el uso del mismo para el envío de spam, salvo que lo acompañes de alguna medida para tal fin.
Ten en cuenta que el método de inyección de encabezados consiste en insertar cabeceras al formulario que envía el correo, de forma que es perfectamente posible enviar un correo a cientos de destinatarios sin necesidad de tener que enviarlo más que una vez.

Por: Juan

Mon, 04 Jun 2007 17:48:48 +0000

Muy buen artículo, gracias.

¿Podrían utilizarse sesiones para evitar el spam?

Es decir, en la pagina principal de nuestro sitio web arrancamos una sesion con un nombre determinado. En la pagina de codigo php que envía el mail (p.ej. enviaMail.php), se verifica si la sesión está activa, y ademas crea una variable de sesión cuando se envía el primer mail del tipo timestamp, de forma que registra el momento en que se envió. Si se intenta enviar de nuevo, se compara la variable de sesión con la hora actual del sistema, y si es menor de, por ejemplo, 10 minutos, impide que se envíe un nuevo mail.

La verdad esque no controlo mucho de sesiones y no se si esto podría tener alguna vulnerabilidad, pero me ha parecido una buena solución (además de la detección de saltos de línea y otras soluciones que habéis dado por ahi).

Os agradecería algún comentario al respecto.

Un saludo, y gracias de nuevo.

Juan

Por: develooping

Tue, 17 Apr 2007 21:00:02 +0000

Hola Manuel.
En esta entrada y varios comentarios de la misma se describen métodos para implementar un captcha y para evitar el spam, pero estos sólo son válidos si el formulario que citas se procesa mediante php. Es bastante posible que así sea pues es un lenguaje muy extendido.
El captcha (mostrar un gráfico con letras y números para asegurarse de que el formulario está siendo enviado por un humano) podría ser suficiente, aunque para más seguridad tampoco estaría de más alguno de los métodos descritos para filtrar encabezados no deseados.
Por supuesto, para implementar estos métodos deberás tener unas nociones, aunque sean muy básicas, de php.

Por: Manuel DF

Tue, 17 Apr 2007 17:47:54 +0000

Estoy vuelto loco con esto de los spams que se van por mi formulario, quisiera preguntar si el método que aparece en algunos formularios, en donde hay ciertos caracteres que el usuario tiene que escribir forzosamente para poder continuar o enviar el formulario, sirve para este fin. y si así es, cómo se puede realizar dicha operación, o existe alguna otra herramienta?…

gracias de antemano