PHP:防洪水(蜜罐)

Question

我有一个我们内部使用的上传表格，允许客户上传他们的宽带设置的照片(作为诊断检查的辅助工具)，我目前正在考虑安全问题。

我最初想到了一个精心设计的IP禁止如果在X分钟内上传超过5个的解决方案，但随着我考虑得更多-我不需要它。蜜罐技术仍然有效吗？(通过CSS隐藏表单输入，如果有条目，则处理为垃圾邮件)。

你的意见是什么最好的方式来尝试和减轻用户试图上传假照片，我想到了一个简单的IP禁令，这不会得到机器人，因为他们倾向于改变他们的IP每次攻击，但它可以阻止大多数普通用户。

请记住，一旦上传的照片对用户是不可见的，它们只对我们的员工可见，在登录脚本后面。我不想在这样一个简单的系统上做过多的安全性--但我也不想让普通用户轻易把我们搞得乱七八糟。

Answer 1

虽然这是一个非常固执己见的问题，因此对StackOverflow来说不一定是理想的，但我将对此提供我个人的意见/建议：

我建议使用临时IP块和谷歌的reCAPTCHA (就像塞缪尔在评论中提到的那样)。虽然这是用户的障碍，但它也是防止自动垃圾邮件和自动上传的最有效方法之一。与IP块相结合，这将防止垃圾邮件机器人和恶意/恼人的人类用户，他们只是想通过上传大量图像来淹没您的网站。

此外，请记住，reCAPTCHA已经从必须键入颗粒状的字母和数字中走了很长的路。现在，用户只需单击一个复选框，偶尔选择一些包含某些项目/对象的图像。这仍然是一个障碍，但对于人类用户来说，这不会超过5-15秒(如果他们必须选择图像的话)，而且它可以阻止几乎任何自动机器人。

此外，我建议不要使用蜜罐技术。隐藏字段的工作原理是机器人仍然会填充隐藏字段，因为它不会运行JavaScript，但这已经发生了很大的变化。虽然仍然有一些机器人可能会上当，但可以很容易地编写运行在web浏览器上的机器人(它将执行JavaScript来隐藏“蜜罐”字段)，并且只与页面上的可见元素交互。因此，这可能会阻止一小部分机器人，但我现在怀疑它的有效性。

当然，如上所述，这是非常固执己见的，所以你的里程数可能会有所不同，其他用户可能会有不同的意见。