Spam in gastenboek - Softwareontwikkeling

donderdag 25 september 2008 22:26

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers,

Sinds een aantal dagen heb ik last van spam in een gastenboek van een klant van mij. Er zit inmiddels een captcha functie in en wordt er gecontroleerd dat er geen tekens zoals; '<a', '<b', '<u' gepost kunnen worden.

Dit werkt prima, als ik zelf in mijn browsertje een tekst zoals dit invoer; 'dit is een <b>test', dan wordt er een error gegeven. Prima, dus dat werkt denk je dan. Het vreemde is echter dat deze tekens WEL gepost worden door de spammers.

De onderstaande functie checkt de 'kleiner-dan-tekens' eruit, de spammers kunnen dit soort tekens wel posten. Inmiddels heb ik al meerdere oplossingen op GoT gevonden, desondanks zou ik graag willen weten hoe meneer/mevrouw de spammert het wel voor elkaar krijgt om een '<' teken te posten.

Iemand enig idee?

ps; voor de slimmerikken; ik ben niet op zoek naar een anti-gastenboek-spam-functie, wil alleen weten hoe de spammers het wel voor elkaar krijgen en ik niet.

PHP:

function check_text($text) {
        $pattern='<a';
        $pos=strpos($text, $pattern);
        if ($pos !== false) {
            return false;
        }
        $pattern='<s';
        $pos=strpos($text, $pattern);
        if ($pos !== false) {
            return false;
        }
        $pattern='<i';
        $pos=strpos($text, $pattern);
        if ($pos !== false) {
            return false;
        }
        $pattern='<b';
        $pos=strpos($text, $pattern);
        if ($pos !== false) {
            return false;
        }
        return true;

    }

donderdag 25 september 2008 22:30

Acties:

0 Henk 'm!

Jaap-Jan

Log dan wat je exact binnenkrijgt.

En tags filteren kun je beter niet doen. Gewoon htmlspecialchars() eroverheen gooien en ze kunnen <b> posten wat ze willen, het komt er gewoon uit als tekst en wordt niet herkend als tag omdat < omgezet wordt naar < en nog een paar.

[ Voor 13% gewijzigd door Jaap-Jan op 25-09-2008 22:32 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

donderdag 25 september 2008 22:30

Acties:

0 Henk 'm!

Bitage

Waarom gebruik je eigenlijk strpos();? Doe dan gewoon stristr();

Kijk ook gelijk eens naar strip_tags();

Edit:// En waarschijnlijk kunnen ze blijven posten omdat je case-sensitive zoekt met strpos(); Gebruik stripos(); om case-insensitive te zoeken. Je zoekt namelijk ook met de tags erbij, als ze nu <A posten, wordt er niets gematched.

[ Voor 38% gewijzigd door Bitage op 25-09-2008 22:39 ]

donderdag 25 september 2008 22:34

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Bitage schreef op donderdag 25 september 2008 @ 22:30:
Waarom gebruik je eigenlijk strpos();? Doe dan gewoon stristr();

Kijk ook gelijk eens naar strip_tags();

Met strip_tags komt de spam er nog steeds te staan, door een error te geven niet.

Ik zou trouwens gewoon een regular expression matchen op <[^>]+>, da's wat praktischer, aangezien het alle HTML tegenhoudt.

Waarom dit script niet werkt zou ik zo ook niet kunnen zeggen, ik zie zo niets geks.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

donderdag 25 september 2008 22:34

Acties:

0 Henk 'm!

Martine

Topicstarter

Okay, begrijpenlijk, dat is niet echt een oplossing, want dan wordt het wel gepost, en dat moet voorkomen worden.

Echter gaat het mij er nu om waarom ik geen teken zoals '<' kan posten en een spammer wel. Hoe flikken ze dat? Dat is de vraag, het blokkeren van de berichten is al opgelost.

donderdag 25 september 2008 22:35

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Euh, posten ze niet gewoon een < wat een < wordt?

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

donderdag 25 september 2008 22:36

Acties:

0 Henk 'm!

danslo

PHP:

1	htmlspecialchars($blah);

Klaar.

edit:
Je zegt dat je er een captcha in hebt zitten, dan kunnen ze het in eerste instantie al niet automatiseren.

[ Voor 51% gewijzigd door danslo op 25-09-2008 22:37 ]

donderdag 25 september 2008 22:38

Acties:

0 Henk 'm!

Martine

Topicstarter

RobIII schreef op donderdag 25 september 2008 @ 22:35:
Euh, posten ze niet gewoon een < wat een < wordt?

Zojuist getest, dan komt er wel < op het scherm te staan. Maar de ingevoerde < staat in de (mysql) database, dus dat is hem ook niet.

cls schreef op donderdag 25 september 2008 @ 22:36:
*knip*
Je zegt dat je er een captcha in hebt zitten, dan kunnen ze het in eerste instantie al niet automatiseren.

Het schijnt dat daar scriptjes voor zijn om dat te omzeilen.

[ Voor 32% gewijzigd door Martine op 25-09-2008 22:40 . Reden: quote van cls toegevoegd ]

donderdag 25 september 2008 22:43

Acties:

0 Henk 'm!

Bitage

Martine schreef op donderdag 25 september 2008 @ 22:38:
Het schijnt dat daar scriptjes voor zijn om dat te omzeilen.

Als je CAPTCHA te omzeilen is, zit er aan jouw kant iets niet goed. Als je een redelijke CAPTCHA hebt, wordt het bovendien knap lastig om daar OCR op uit te voeren.

Trouwens, voor de duidelijkheid, wat krijg je nu door jouw browser uitgepoept? Een leesbare <a> tag of ook een daadwerkelijk klikbare link? Als het het eerste is, zou RobIII nog wel eens gelijk kunnen hebben ook.

donderdag 25 september 2008 22:47

Acties:

0 Henk 'm!

Onbekend

...

Martine schreef op donderdag 25 september 2008 @ 22:38:
[...]

Zojuist getest, dan komt er wel < op het scherm te staan. Maar de ingevoerde < staat in de (mysql) database, dus dat is hem ook niet.

Hier gaat al iets fout.
Je moet op speciale tekens filteren en eventueel converteren voordat de database wordt beschreven.

Speel ook Balls Connect en Repeat

donderdag 25 september 2008 23:03

Acties:

0 Henk 'm!

Duroth

No rest for the tweaked

Ik quote Bitage maar even, omdat zijn post (iig zijn edit) niet gelezen lijkt te worden...

Bitage schreef op donderdag 25 september 2008 @ 22:30:
Waarom gebruik je eigenlijk strpos();? Doe dan gewoon stristr();

Kijk ook gelijk eens naar strip_tags();

Edit:// En waarschijnlijk kunnen ze blijven posten omdat je case-sensitive zoekt met strpos(); Gebruik stripos(); om case-insensitive te zoeken. Je zoekt namelijk ook met de tags erbij, als ze nu <A posten, wordt er niets gematched.

Inderdaad, als ze <A tikken ipv <a, heb je pech gehad.

Is dit geen oplossing?

PHP:

if($text == strip_tags($text)) {
  /* post wel */
} else {
  /* post niet, error */
}

donderdag 25 september 2008 23:04

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Bitage schreef op donderdag 25 september 2008 @ 22:43:
[...]

Als je CAPTCHA te omzeilen is, zit er aan jouw kant iets niet goed. Als je een redelijke CAPTCHA hebt, wordt het bovendien knap lastig om daar OCR op uit te voeren.

Een CAPTCHA is niet noodzakelijkerwijs een image...

Duroth schreef op donderdag 25 september 2008 @ 23:03:
Ik quote Bitage maar even, omdat zijn post (iig zijn edit) niet gelezen lijkt te worden...

[...]

Inderdaad, als ze <A tikken ipv <a, heb je pech gehad.

Is dit geen oplossing?
PHP:
1
2
3
4
5
if($text == htmlspecialchars($text)) {
  /* post wel */
} else {
  /* post niet, error */
}

Daar kan ik met één karakter antwoord op geven: &

[ Voor 41% gewijzigd door NMe op 25-09-2008 23:04 ]

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

donderdag 25 september 2008 23:10

Acties:

0 Henk 'm!

Duroth

No rest for the tweaked

-NMe- schreef op donderdag 25 september 2008 @ 23:04:

[...]

Daar kan ik met één karakter antwoord op geven: &

Het zal wel komen omdat het laat is, maar ik zie de fout zo snel niet

Behalve dan het feit dat ik eigenlijk strip_tags() wilde gebruiken in plaats van htmlspecialchars()

[ Voor 7% gewijzigd door Duroth op 25-09-2008 23:11 ]

donderdag 25 september 2008 23:11

Acties:

0 Henk 'm!

Martine

Topicstarter

Duroth schreef op donderdag 25 september 2008 @ 23:03:
*knip*
Inderdaad, als ze <A tikken ipv <a, heb je pech gehad.
*knipper*

Ai, ai, ai, het kon wel maandagmorgen zijn... er stond nog een oude (lees; hele oude) file met de naam gbwrite.php open en bloot in de dir.

Allen bedankt voor het meedenken, toch zijn we door jullie scherpte wederom scherp geworden!

// Edit;
Foutje in forum? < en & lt ; wordt een <, is dat correct?

[ Voor 7% gewijzigd door Martine op 25-09-2008 23:12 ]

donderdag 25 september 2008 23:12

Acties:

0 Henk 'm!

Jaap-Jan

waarom wil je $text vergelijken met strip_tags($text)?

Martine schreef op donderdag 25 september 2008 @ 23:11:
[...]

// Edit;
Foutje in forum? < en & lt ; wordt een <, is dat correct?

Dat is correct. Kijk maar eens in de source. Dat is de magie van htmlentities aan het werk.

[ Voor 71% gewijzigd door Jaap-Jan op 25-09-2008 23:15 ]

| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett

donderdag 25 september 2008 23:19

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Duroth schreef op donderdag 25 september 2008 @ 23:10:
[...]

Het zal wel komen omdat het laat is, maar ik zie de fout zo snel niet
Behalve dan het feit dat ik eigenlijk strip_tags() wilde gebruiken in plaats van htmlspecialchars()

Je hebt het zo te zien zelf al gemerkt, maar htmlspecialchars maakt van & al &, dus als iemand schrijft "groetjes van Jan & Piet", dan is dat een false positive met jouw functie.

Martine schreef op donderdag 25 september 2008 @ 23:11:
Foutje in forum? < en & lt ; wordt een <, is dat correct?

Dat schijnt by design te zijn.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 26 september 2008 00:15

Acties:

0 Henk 'm!

curry684

left part of the evil twins

Martine schreef op donderdag 25 september 2008 @ 22:26:
Sinds een aantal dagen heb ik last van spam in een gastenboek van een klant van mij.

Ik werd diep bedroefd toen ik zag dat mensen blijkbaar geld betalen aan een webdeveloper die niet weet wat html entities zijn.

Professionele website nodig?

vrijdag 26 september 2008 00:20

Acties:

0 Henk 'm!

Appie

F1RST Racing

curry684 schreef op vrijdag 26 september 2008 @ 00:15:
[...]

Ik werd diep bedroefd toen ik zag dat mensen blijkbaar geld betalen aan een webdeveloper die niet weet wat html entities zijn.

Al werkende leert men.

You can take me in the mailing, but i am not from yesterday!

vrijdag 26 september 2008 09:45

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

Appie schreef op vrijdag 26 september 2008 @ 00:20:
[...]

Al werkende leert men.

Als je daar echt zo overdenkt en je klant vindt het prima dat er beginnersfouten gemaakt gaan worden in hun site... prima hoor.. maar kom op zeg... leren doe je op school, ervaring opdoen en bijleren doe je op je werk. Maar zoiets als dit moeten leren als echt werk op kosten van de klant...

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

vrijdag 26 september 2008 09:51

Acties:

0 Henk 'm!

418O2

Je weet niet wat hij er voor vraagt he. Als je voor 150 euro een website neemt moet je niet raar opkijken van zoiets.

maar we dwalen af

vrijdag 26 september 2008 09:54

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Sorry, maar als ik een timmerman inhuur hoop ik dat hij het verschil tussen een spijker en een schroef weet. Blijkbaar is dat in IT land een stuk minder vanzelfsprekend....

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

vrijdag 26 september 2008 10:28

Acties:

0 Henk 'm!

Muscrerior

Creepy schreef op vrijdag 26 september 2008 @ 09:45:
[...]
Als je daar echt zo overdenkt en je klant vindt het prima dat er beginnersfouten gemaakt gaan worden in hun site... prima hoor.. maar kom op zeg... leren doe je op school, ervaring opdoen en bijleren doe je op je werk. Maar zoiets als dit moeten leren als echt werk op kosten van de klant...

offtopic:
Vrijwilligerswerk dat ik heb gedaan, behandel ik net zo als mijn betalende klanten.
Punt: We weten gewoon veel te weinig van de situatie van TS om daar (betrouwbare) uitspraken over te kunnen doen.

vrijdag 26 september 2008 10:33

Acties:

0 Henk 'm!

Creepy

Tactical Espionage Splatterer

offtopic:
Ik reageerde dan ook op Appie, en niet op de ts

"I had a problem, I solved it with regular expressions. Now I have two problems". That's shows a lack of appreciation for regular expressions: "I know have _star_ problems" --Kevlin Henney

vrijdag 26 september 2008 17:04

Acties:

0 Henk 'm!

Soultaker

Wellicht mosterd na de maaltijd, maar ik ben geen fan van dit soort constructies:

-NMe- schreef op donderdag 25 september 2008 @ 22:34:
Met strip_tags komt de spam er nog steeds te staan, door een error te geven niet. Ik zou trouwens gewoon een regular expression matchen op <[^>]+>, da's wat praktischer, aangezien het alle HTML tegenhoudt.

Tekst waarin dan toevallig een kleiner-dan en een groter-dan teken voorkomen, wordt dan onterecht geweigerd. Nogal frustrerend.

De beste oplossing is toch gewoon het simpelste (en gelukkig ook een aantal keer genoemd): bij het weergeven gewoon htmlspecialchars of htmlentities erover zodat alle tekst letterlijk wordt weergegeven en alle XSS-achtige-risico's vermeden worden (hopelijk zegt de term XSS de TS dat wel wat

)

Het klopt dat je daarmee het spamprobleem niet oplost, maar daar kun je dan wel weer een andere oplossing voor vinden. Door niet alles in één keer te willen doen, maar afzonderlijke problemen afzonderlijk aan te pakken, voorkom je dat er gaten vallen in je beveiliging.

vrijdag 26 september 2008 17:20

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Soultaker schreef op vrijdag 26 september 2008 @ 17:04:
Wellicht mosterd na de maaltijd, maar ik ben geen fan van dit soort constructies:

[...]

Tekst waarin dan toevallig een kleiner-dan en een groter-dan teken voorkomen, wordt dan onterecht geweigerd. Nogal frustrerend.

Ten eerste ben ik er ook niet zo'n fan van, maar is het wel gewoon een oplossing voor het probleem dat ik noemde. Ten tweede is het niet erg waarschijnlijk dat iemand op een gastenboek een groter-dan én een kleiner-dan teken neer wil zetten en dan ook nog eens in die volgorde, dus het is wel degelijk een werkbare oplossing voor het gestelde probleem; htmlspecialchars is dat niet.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 26 september 2008 17:33

Acties:

0 Henk 'm!

BalusC

Carpe diem

<html> werkt wel, maar < html> niet. Je kunt daar de regexp ook wel op laten aanpassen zodat het minder grof is.

vrijdag 26 september 2008 17:40

Acties:

0 Henk 'm!

Sebazzz

3dp

418O2 schreef op vrijdag 26 september 2008 @ 09:51:
Je weet niet wat hij er voor vraagt he. Als je voor 150 euro een website neemt moet je niet raar opkijken van zoiets.

maar we dwalen af

Wat is dan een 'normale' prijs voor een simpele website, als dat überhaupt bestaat?

*simpele website=Website van bedrijf x met een aantal producten, productinformatie, contactformulier, eventueel gastenboek, zoiets. Zoiets als de site van de AH of Aldi ofzo

[ Voor 20% gewijzigd door Sebazzz op 26-09-2008 18:52 ]

[Te koop: 3D printers] [Website] Agile tools: [Return: retrospectives] [Pokertime: planning poker]

vrijdag 26 september 2008 18:48

Acties:

0 Henk 'm!

Gomez12

@sebazz, Geef dan eerst eens een redelijke definitie van simpele website

vrijdag 26 september 2008 22:30

Acties:

0 Henk 'm!

Martine

Topicstarter

curry684 schreef op vrijdag 26 september 2008 @ 00:15:
[...]

Ik werd diep bedroefd toen ik zag dat mensen blijkbaar geld betalen aan een webdeveloper die niet weet wat html entities zijn.

Het ging erom hoe ik erachter kwam, wat de manier van de spammer was om wel een bericht in het gastenboek kon posten. Het gaat ging er niet om wat ik wel en niet wist.

418O2 schreef op vrijdag 26 september 2008 @ 09:51:
Je weet niet wat hij er voor vraagt he. Als je voor 150 euro een website neemt moet je niet raar opkijken van zoiets.

maar we dwalen af

Het is inderdaad een vijf-tientjes website en werkt er wat in mijn vrije uurtjes aan. We dwalen inderdaad af, de oplossing in inmiddels gevonden en problem solved.

zaterdag 27 september 2008 09:54

Acties:

0 Henk 'm!

Gomez12

Martine schreef op vrijdag 26 september 2008 @ 22:30:
[...]

Het is inderdaad een vijf-tientjes website en werkt er wat in mijn vrije uurtjes aan.

Imho is dit nog geen verontschuldiging om dit te laten gebeuren... Je hebt blijkbaar gewoon code daar staan waarvan je nog niet eens weet dat die daar staat, lekker testen in de klant zijn omgeving...

zaterdag 27 september 2008 10:22

Acties:

0 Henk 'm!

Cartman!

Sebazzz schreef op vrijdag 26 september 2008 @ 17:40:
*simpele website=Website van bedrijf x met een aantal producten, productinformatie, contactformulier, eventueel gastenboek, zoiets. Zoiets als de site van de AH of Aldi ofzo

Volgens mij weet je niet wat simpel is

Ben het helemaal met bovenstaanden eens, testen doe je niet bij de klant. Testen doe je tijdens het bouwen en pas als het helemaal in orde is, dan gaat t naar een klant.

zaterdag 27 september 2008 13:11

Acties:

0 Henk 'm!

Martine

Topicstarter

Gomez12 schreef op zaterdag 27 september 2008 @ 09:54:
[...]

Imho is dit nog geen verontschuldiging om dit te laten gebeuren... Je hebt blijkbaar gewoon code daar staan waarvan je nog niet eens weet dat die daar staat, lekker testen in de klant zijn omgeving...

En wat nou als de klant dat helemaal gewelding en super leuk vindt, om zijn website zo opgebouwd zien worden? Dan krijgt het hele verhaal toch een andere wending?

Jullie mogen denken wat je er van vindt, het is mij wel goed. Ik heb al gezegd dat het een vijf-tientjes website is, werk er in mijn vrije uurtje's aan en de klant vindt het helemaal geweldig. Super toch?

Verder wil ik hieraan toevoegen, dan we in mijn ogen inmiddels enorm zijn afgedwaald, daarom laat ik het hier dan ook maar bij. Dit soort reacties hebben mijn inziens geen toegevoegde waarde meer voor deze topic.

zaterdag 27 september 2008 13:19

Acties:

0 Henk 'm!

Gomez12

Martine schreef op zaterdag 27 september 2008 @ 13:11:
[...]
En wat nou als de klant dat helemaal gewelding en super leuk vindt, om zijn website zo opgebouwd zien worden? Dan krijgt het hele verhaal toch een andere wending?

Alleen als je de klant erbij verteld hebt dat dit soort dingen wel de gevolgen zijn... Anders blijft het imho broddelwerk...
Op zich ben ik wel benieuwd of de klant erg blij was met de spam? En of jij nog iets in rekening hebt gebracht voor het maken van een niet-werkende captcha...

Verder wil ik hieraan toevoegen, dan we in mijn ogen inmiddels enorm zijn afgedwaald, daarom laat ik het hier dan ook maar bij. Dit soort reacties hebben mijn inziens geen toegevoegde waarde meer voor deze topic.

Je weet toch wel dat dit een discussieforum is en geen helpdesk, je hebt geen eigendom over een topic wat je gestart hebt...

[ Voor 9% gewijzigd door Gomez12 op 27-09-2008 13:21 ]

zaterdag 27 september 2008 13:33

Acties:

0 Henk 'm!

ikbenwouter

! w t R

Weer een voorbeeld van hoe kritisch mensen tegenwoordig zijn hier. Ik vind het erg jammer dat er weer zo op de man gespeeld wordt. Laat Martin! toch gewoon lekker verder leren en experimenteren, als de klant blij is en weinig hoeft te betalen prima toch. Doe niet zo moeilijk, veel mensen hier doen alsof het om hersenchirurgie gaat waar alles gelijk perfect geregeld moet worden. Terwijl het vaak om mensen gaat die een website-je maken voor iemand als hobby en daar een kleine vergoeding voor krijgen

Beetje liever voor elkaar mag ook wel en nu gewoon weer doorpraten over de techniek!

........................................................................................................................................................

zaterdag 27 september 2008 13:50

Acties:

0 Henk 'm!

Gomez12

ikbenwouter schreef op zaterdag 27 september 2008 @ 13:33:
als de klant blij is en weinig hoeft te betalen prima toch.

Nogmaals, wordt de klant wel blij van spam?

Doe niet zo moeilijk, veel mensen hier doen alsof het om hersenchirurgie gaat waar alles gelijk perfect geregeld moet worden.

Vreemd, gemiddelde klant verwacht dit wel. Of zeg jij eerlijk tegen je klanten dat je blijkbaar wel eens grote steken laat vallen, maar dat de klant niet zo moet zeuren voor het bedrag wat hij betaald?

Terwijl het vaak om mensen gaat die een website-je maken voor iemand als hobby en daar een kleine vergoeding voor krijgen

Tja, hobbyisme voor geld is voor mij geen excuus om gewoon broddelwerk af te leveren. Als je het uit hobby doet en er een leertraject van wilt maken vraag je er gewoon geen geld voor.
Op het moment dat je er geld voor vraagt mag wmb de klant iets verwachten.

Dan kun je wel leuk zeggen dat de klant tevreden is, dat is hij misschien ook wel met de website. Maar waarschijnlijk niet met deze fout. Wat nu als straks blijkt dat er gewoon ergens nog een bestandje staat wat de dbase leeghaalt?

Wat mij betreft mag je kritisch zijn op het moment dat iemand ergens geld voor vraagt. En een bestandje vergeten is wat mij betreft niet een klein layoutfoutje. Dat is gewoon een mega-fout, maar ok ik stop wel.

[ Voor 8% gewijzigd door Gomez12 op 27-09-2008 13:54 ]

zaterdag 27 september 2008 14:09

Acties:

0 Henk 'm!

ikbenwouter

! w t R

Het is niet alsof de klant nou keiharde schade ondervind van een paar spam berichten. Het probleem is nu toch ook gewoon netjes opgelost? Overal wordt wel eens een vergissing gemaakt al dan niet door onwetendheid, moet kunnen. Los hiervan snap ik deze discussies nooit zo op een plek waar het over het programmeren zou moeten gaan, dit zie ik erg vaak gebeuren en ik stoor me er wel aan eigenlijk.

........................................................................................................................................................

maandag 29 september 2008 12:16

Acties:

0 Henk 'm!

Zyppora

155/50 Warlock

@Diegenen die 'mega-fout' roepen, ik heb Martin nergens zien schrijven dat hij direct de beschikking over de productie-omgeving heeft/had. Die gbwrite.php kan goed een bestand zijn geweest dat in een vorige versie van dit gastenboek aan de klant geleverd is, die het ge-upload heeft, maar daarna bij wijze van update door een ander bestand (met een andere naam) vervangen had moeten worden. De klant kan dan simpelweg vergeten zijn dit bestand te verwijderen, en Martin is ervan uit gegaan dat dat wel gebeurd is. Op die manier heb je te maken met een communicatie-issue. Is nog steeds niet goed, maar niet half zo dramatisch als sommigen het hier brengen.

Daarnaast kan het in goed overleg tussen Martin en de klant afgesproken zijn dat Martin een beetje aan het devven sloeg en daar wat zakgeld tegenover stond. De klant weet dan dattie niet een 100% waterdichte website hoeft te verwachten, maar daar dan ook niet voor betaalt. Ik ga er dan ook vanuit dat Martin de klant op de hoogte gehouden heeft van de vooruitgang en eventuele issues (zoals dit).

Neemt natuurlijk niet weg dat er de nodige slordigheidsfoutjes gemaakt zijn, maar kom op zeg, we gaan een aspirant-programmeur toch niet op deze manier afbranden?

Phenom II X4 945 \\ 8GB DDR3 \\ Crosshair IV Formula \\ R9 290

maandag 29 september 2008 12:30

Acties:

0 Henk 'm!

!null

Semi-Ontopic: Je kunt misschien Mollom proberen om op een nette manier spammers weg te houden. Die doet alleen een goeie image CAPTCHA als ie het niet vertrouwd. Dan hoef je ook geen vieze filter dingen met de input te doen.

Offtopic: Ik vind het ook gezeur. Ik heb verschillende klanten, bij sommige lever ik een werkend product af, en bij sommige werk ik aan een live site. Ik zie het probleem niet. Zeker in de situatie zoals Martin! het voorstelt, met een 5 tientjes website. Dan heeft een klant ook geen hoge verwachtingen. Iig niet op gebied van werkvorm etc.
Het is idd wel lomp om de klant een zooi spam over zich heen te laten krijgen, maar aan de andere kant, als je er niet genoeg kennis van hebt en dus een spam-gevoelig contact formulier hebt gemaakt, hoe kom je er dan achter zonder dat het live gaat?

Ampera-e (60kWh) -> (66kWh)

maandag 29 september 2008 12:41

Acties:

0 Henk 'm!

DP Kunst

Misschien is het een idee om naast de htmlentities ook nog even een addslashes toe te voegen. M'n Inf huisgenoot ging ff proberen en zonder addslashes kon ie gewoon dingen en de database zetten die ik er niet in wou...

Mijn nieuwe portfolio (Under Construction) | Benieuwd wat Solar Team Twente gaat doen?

maandag 29 september 2008 12:42

Acties:

0 Henk 'm!

!null

mysql_real_escape_string() hebben we voor dat soort dingen.

Ampera-e (60kWh) -> (66kWh)

maandag 29 september 2008 16:46

Acties:

0 Henk 'm!

Verwijderd

Een spammer komt altijd rechtstreeks op de add pagina.

Wat ik doe, ik zet een sessie op de hoofdpagina. Is die sessie niet aanwezig op de add pagina dan laat ik het gastenboek niet eens zien.

Nooit meer last van spammers in mijn gastenboek. En het gastenboek wordt ook niet gevonden in zoekmachines maar dat vind ik geen probleme, de rest van de site komt er immers nog wel normaal in...

zondag 30 oktober 2016 23:32

Acties:

0 Henk 'm!

Verwijderd

RobIII schreef op donderdag 25 september 2008 @ 22:35:
Euh, posten ze niet gewoon een < wat een < wordt?

Tja bekijk eens char(... zonder veel uitleg te geven hoe het werkt.Ik heb/had een eigen datasysteem . ik gebruikte het public en kreeg veel sqlinjecties door de jaren heen en doordat mijn systeem niet op die mannier werkte .Kon ik hun werkwijze detecteren en kom je al snel op zo'n werkwijzen

private function getinjectionsA(){
return['/benchmark$/i','/md5\(now\($\)/i',...
om u toch niet alle detecties te laten zien

zondag 30 oktober 2016 23:33

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Behalve dat er geen touw aan je betoog is vast te knopen trek je een ruim 8 jaar oud topic uit de sloot

Niet echt de bedoeling

[ Voor 3% gewijzigd door RobIII op 30-10-2016 23:39 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij