CAPTCHA PHP SIMPLE

Commentaire de popGG le 01/07/2009 10:22:45

"mais c'est amplement suffisant comme anti flood"

Désolé mais je suis pas aussi convaincu pour l'anti-flood...
Un simple F5 et hop, tout ce que t'as foutu dans ton formulaire (code captcha inclus) est réutilisé: répétition des messages, etc...
il reste plus qu'à mettre un bot pour remplir ta table SQL.

La captcha est une bonne chose mais n'oublie pas de revérifier l'anti-flood!!!

Commentaire de popGG le 01/07/2009 12:34:44

Je suis pas pro-php donc je ne te garantie pas que ce  que je vais te livrer soit efficace à 100%. Le but est d'éviter les répétitions de formulaire:

Tout d'abord, crée une class Util où tu pourras insérer cette petite fonction:
function antiFlood($veriFlood){
$bool=false;
if(isset($_SESSION['antiflood'])){
for($i=0 ; $i<count($veriFlood) ; $i++){
if(isset($_SESSION['antiflood'][$i])){
if($veriFlood[$i]!=$_SESSION['antiflood'][$i]){
$bool=true;
}
}else{
$bool=true;
}
}
}else{
$bool=true;
}
if($bool === true){
$_SESSION['antiflood']=$veriFlood;
}
return $bool;
}


Maintenant, l'utilisation est simple. A chaque action qui implique un enregistrement, je fais un truc du genre:

$veriFlood = array($paramForm1,$paramForm2,$paramForm3,$paramForm4);
if($Util->antiFlood($veriFlood) === false){
$erreurs[]=' ';
}

Où paramForm1/4 sont tes entrées du formulaire.
Je pense qu'on pourra trouver un moyen plus jolie et générique pour remplir le array $veriFlood...


if($erreurs==null){
// pas de flood
}else{
// flood. On enregistre rien!
}

Comme je t'ai dit, c'est un point de départ et je pense que tu peux trouver un truc plus simpa sur Internet.

Hasta luego

Commentaire de toutoos le 01/07/2009 12:48:51

Enfin je veu dire qu'en général quand on utilise cette fonction c'est pour une inscription ou un truc comme ça! donc en toute logique on vérifie que une entrée dans la base n'existe pas déjà (enfin moi je l'utilise comme ca).

Commentaire de popGG le 01/07/2009 13:36:41

"pouvoir en fournir un complet à chaqu'un qui en désire un"

Si tu veux faire un captcha complet, je pense que tu devrais regarder le flood. De même, essaie de compliquer un peu la lecture de l'image (fusionne des caracteres, donne leurs un angle de lecture ou utilise une police (font) personnalisée, etc...)

Pense également que certaines personnes pourront utiliser ton captcha pour valider un simple message sur un forum, ou valider le téléchargement d'un fichier. Non seulement pour l'inscription d'un utilisateur.

Actuellement, ton captcha seul ne sert à rien niveau protection.

Bonne continuation pour la suite ;)

Buena suerte y persiste siempre en lo que haces!

Commentaire de kankrelune le 08/07/2009 11:47:55

Je pense surtout que tu te mélange allègrement les pinceaux popGG... le code de la captcha est recréé à chaque exécution du script et est normalement, en toute logique, détruit après vérification... si tu fais F5 tu renvois la valeur du formulaire avec l'ancien code captcha donc ça ne passe pas... donc pour ce qui est de l'antiflood aucun soucis... .. .

Pour ce qui est de la reconnaissance des caractères c'est l'ocr dont je parle mais ça demande un boot spécifique ce qui ne sera pas le cas la plupart du temps donc...

"je pense qu'un ocr réussira quand même à le casser mais c'est amplement suffisant comme anti flood"

après tout dépend du site, et de la partie du site, à protéger... par contre ton code je vois pas l'intérêt... je fais comment si je suis un gros posteur et que je veux poster plusieurs message sur plusieurs sujet en simultané sur un forum... tu différencie comment un boot qui flood d'un mec qui fait simplement 2 post d'affiler parce qu'il a oublié de dire quelque chose... bref inutile surtout que la captcha à le même rôle mais a d'autre avantage en plus que ta fonction n'a pas... .. .

Par contre pour ce qui est du code...

Niveau génération de ton code captcha, toutoos, tu t'y prend mal... il doit être généré non pas dans ta partie formulaire mais directement dans ta captcha... un simple appel vers le fichier captcha.php (via la balise img) et tout le reste est automatiquement traité et non pas d'un coté je fais le code et de l'autre je génère l'image... qui plus est a chaque affichage de ta captcha ton code doit changer il est donc logique que ça soit elle qui génère ce code... donc au début de ton fichier captcha.php tu met...

if(!isset($_SESSION)) {
    session_start();
}
$_SESSION['captcha'] = '';
$chaine = array(
                'a','b','c','d','e','f','g','h',
                'i','j','k','l','m','n','o','p',
                'q','r','s','t','u','v','w','x',
                'y','z','A','B','C','D','E','F',
                'G','H','I','J','K','L','M','N',
                'O','P','Q','R','S','T','U','V',
                'W','X','Y','Z'
);

$nb = 0;
while( $nb++ < 6 ) {
    $_SESSION['captcha'] .= $chaine[rand(0,51)];
}

et si tu veux une captcha multipage tu peux insérer un id... personnellement je rajoute un temps d'expiration... .. .

2nd truc... il est totalement inutile d'utiliser md5 ça ne change rien si ce n'est que ça bouffe des ressources pour rien... si ton code est faux en md5 c'est qu'en clair il était faux... .. . ;o)

Je met 6 bon code mais peut être un peut trop simple et surtout gros problème de conception au niveau de la génération du code... .. .

@ tchaOo°

Commentaire de toutoos le 31/07/2010 18:22:08

Bonjour,

Voila après un an d'inactivité je reprend le codage de ce captcha. Il est vrai qu'avec le temps j'ai compris que le captcha était sincèrement faible niveau protection et un peu simple niveau codage et donc ne résistera pas longtemps à un robot.

J'ai effectué beaucoup de recherche sur le sujet pendant cette longue année d'inactivité. Je pense pouvoir vous faire un bon code avec plus de sécurité, plus d'innovation. Je posterai une nouvelle source avec le nouveau captcha pour vous tenir au courant.