spam - form che si invia anche rimuovendo il pulsante submit

[corsari]

Ciao a tutti

Oggi sono alle prese con lo spam.

Purtroppo
solo dopo averci girato e rigirato intorno
e solo dopo aver implementato un sistema anti spam molto furbo

ho potuto scoprire che su quella pagina php c'è qualche scelta strutturale sbagliata.

Infatti, come contro prova, ho messo i commenti e rimosso la parte di codice che pubblica il pulsante "Invia" e l'ho sostituita con del testo che invita a scrivere un email... ma ho dovuto constatare che lo stesso vengono compilati e "submitted" i form!!!??!?!?

Chiedo quindi se c'é qualche buon anima che possa leggere il codice della pagina in questione individuando (senza smenarci troppo tempo) auspicabilmente al volo qualcosa di macroscopico che possa spiegare il fenomeno (per me) fantascientifico.

Grazie in anticipo caso mai

Il codice é open source, parliamo di lynxhd un sistema di ticket
sourceforge.net/projects/coldbrewhelpdes/files/?source=navbar

Il file incriminato é il newticket.php

(Da mezzo profano) credo che il limite principale della pagina sia che il POST del form non porti ad un altro file. Infatti al termine della creazione di un nuovo ticket, l'output e' ancora la stessa newticket.php

( Una nota per chi volesse curiosare: Si noti che il bel codice captcha che hanno programmato, SERIAMENTE BELLO e che genera 5 cifre che secondo me legge a fatica solo un umano... non viene controllato , infatti si puo scriverlo come no e magari sbagliato, e il ticket si crea comunque)

(Se voleste mai usarlo, ricordate di rimuovere il programma che permette l'upload di files/allegati)

Beh, grazie per l'eventuale opinione

Cor

[cavicchiandrea]

I captcha devono essere funzionali non belli, cerca in rete qualcosa di valido

[corsari]

Ciao Andrea

Scusa ma forse la mia esposizione ha depistato

il problema dei captcha non e' rilevante.

Dal form ho rimosso per controprova il pulsante del submit e lo stesso mi vengono creati i ticket!!???
(E' per questo che nel post iniziale faccio l'ipotesi che la struttura scelta nel progetto di quella pagina sia inadatta e chiedo se qualcuno dando un occhiata al volo possa esprimere un suo parere su quale sia il principio errato adottato dallo sviluppatore)

Come fa il bot dello spam a fare lo stesso il submit?

Ecco, magari ora mi sono espresso meglio.

Grazie a chi volesse dare la sua opinione

Nel post iniziale c'e' il link al codice php

Cor

[corsari]

Ho implementato un anti spam "anti captcha" di quelli noti ma efficaci.

Il codice della pagina newticket.php è impostato col programma php all'inizio.

Sfruttando il metodo post ed essendoci già una sezione controlli (questo sistema di ticket era impostato bene, peccato che sia abbandonato), controllo degli IP bannati, controllo delle email bannate

ho aggiunto un controllo "anti spam", tre righe in croce dell' IF

codice:

// Check for anti spam 	
if( $_POST[bottaccati] != "" ) 	
{       
echo "Hai scritto nel campo vietato, <a href=\"./\">torna alla 
pagina iniziale</a>.";       
exit;     }

e nell'HTML ho aggiunto un input text marcato come da lasciare vuoto

codice:

lasciare vuoto --&gt; <input class="field text xsmall" type="text"
 name="bottaccati" value="<?php echo field( $_POST[subject2] 
) ?>" size="5" /> &lt;-- lasciare vuoto

e basta... se qualcuno lo compila (e se il bot non è un superbot ... lo compilerà), la query di inserimento non avviene e viene scritto un messaggio.

Il problema potrebbe essere l'utenca (l'utente tinca) che andasse a scrivere in quel campo... amen, le label ed un sistema di etichette popup avvisano che in quel campo non bisogna scriverci... riscriverà tutto daccapo.