Formulaire détourné?

**le Sam Mar 29, 2008 19:29**

Hello,
J'ai un simple formulaire de contact sur un site, et lorsque l'utilisateur l'a rempli, clique sur "envoyer" et je le reçois par courriel.
Depuis quelques temps, je reçois des messages bidons du style ci dessous :

Un visiteur du site (je censure...) a fait la demande d'information suivante :
OmFO mdsThfgbDylPuUxu ingiborg
peut être contacté(e) par email à : (je censure )@mail.com
Ce visiteur souhaite voyager du : bbbNjLDkqDHBPnCiho au dBjVVjcvvE
Nombre de personnes enfants compris : fOuXSvDPqlQOnvdiq
La question suivante a été posée :

et dans "la question etc." il y a un liste très longue de mots clefs, souvent pour des produits de marque (genre ceux qui font des bagages, ou des parfums, pour ne nommer personne...). C'est visiblement du spam, apparemment rentré par une machine et pas par un "humain"

Ma question est simple : d'où ça sort, comment c'est possible, et surtout comment éviter ça? Comme les données entrées sont du texte simple, difficile de mettre des regex pour réguler le tout...

Merci pour vos avis et conseils,
A.

**le Sam Mar 29, 2008 19:49**

ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle

**le Sam Mar 29, 2008 20:16**

Merci M.A. pour la réponse rapide!
Je ne sais pas ce qu'est un "captcha", donc je vais chercher (je suppose que je trouverai sur le siteduzéro, ou sur php.net).
J'aime bien l'idée du champ caché pour tromper l'adversaire :twisted:

Je vais travailler dans ce sens.
Bonne continuation et merci pour tes nombreuses participations judicieuses à ce forum!
A.

**le Sam Mar 29, 2008 20:26**

+1 avec l'idée du captcha (code généré automatiquement dans une image que l'internaute doit rentrer pour valider l'envoi de son message).
Tu as également la possibilité de renommer le fichier contenant le script de ton formulaire, ils sont généralement appelés "contact" ou un nom similaire donc les bots les trouvent très facilement.
Renomme le avec un autre nom qui n'a rien à voir et tu seras surement moins "attaqué"

**le Sam Mar 29, 2008 20:31**

les champs de tes formulaires sont ils protégés par htmlentities ?

**le Sam Mar 29, 2008 21:34**

Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A.

**le Sam Mar 29, 2008 22:23**

Une autre solution assez simple aussi qui limitera seulement les attaques : tes champs de dates ne doivent contenir que des chiffres sinon ça bloque l'envoie.
Les robots un peu evolué en voyant un champ "date" te mettront une vrai date, mais ça permet de bloquer les autres qui t'envoie du "lkglyguyyil"

**le Dim Mar 30, 2008 2:14**

C'est vrai, merci Djoule, je vais mettre une regex au milieu...
A.

**le Dim Mar 30, 2008 2:35**

Change simplement le formulaire, je suis en train de le faire, remplace le nom du champ email, imail , mail par tttt (c'est un exemple ....

pourtant, la semaine derniière, j'avais ajouté vériffication du mom de domaine de l'adresse mail ..;yaho.com, redirection de yahoo.com (pas de chance).

**le Dim Mar 30, 2008 3:11**

Ybet,
Tu veux dire remplacer
<input type="text" name="email" maxlength="40" class="cases" value="" />
par
<input type="text" name="xyzetc" maxlength="40" class="cases" value="" />
et remplacer donc $email = $_POST['email']; par $xyzetc = $_POST['xyzetc'];

c'est ça?

**le Dim Mar 30, 2008 10:44**

Les formulaires de contact, c'est relou. En plus si il faut se taper un captcha, perso je passe mon tour..

**le Dim Mar 30, 2008 13:41**

aventvoy a écrit:par $xyzetc = $_POST['xyzetc'];

en fait juste par

Code: Tout sélectionner: $email= $_POST['xyzetc'];

**le Dim Mar 30, 2008 17:48**

Marie-Aude a écrit:ça sort de robots, c'est possible très simplement (ils envoient les informations automatiquement) et pour éviter ça on commence par un captcha ou par un champ caché. L'idée c'est que le champ caché doit rester vide et que seul un robot le remplira, donc si le champs est rempli, poubelle

J'en apprends chaque jour! Merci Marie-Aude.
Aurais-tu un lien à me passer pour approfondir cette méthode? Ton bout de code ressemble à quoi

**le Dim Mar 30, 2008 23:59**

aventvoy a écrit:Hello Keroin,
Merci pour la suggestion. La page du formulaire ne s'appelle déjà pas "contact", donc le(s) robot(s) a du la trouver autrement... Je vais de toute façon la renommer, des fois qu'elle soit dans une bdd de cibles à utiliser...
Webmasterdemonsite :
Merci. Les champs ne sont pas protégés par htmlentities, je ne sais même pas ce que c'est, mais je vais trouver et mettre en place si ça s'applique au cas en question.
Est-ce qu'il y a une fonction spéciale qui regrouperait toutes les protections possibles, genre htmlentities et stripslashes et d'autres que je ne connais pas?
Bye,
A.

http://www.webmaster-hub.com/publicatio ... e-PHP.html

c'est quoi stripslashes ?

**le Lun Mar 31, 2008 0:11**

webmasterdemonsite a écrit:c'est quoi stripslashes ?

http://fr3.php.net/stripslashes

Formulaire détourné?

Formulaire détourné?

Lectures recommandées sur ce thème :

Qui est en ligne