Уклоняемся от басурманского спама. Evo.

В последнее время че-та слишком много басурманского спама начало падать мне в почту, в итоге психанул и написал небольшое дополнение для eForm, которое не только блокирует отправку спама, но и кидает ip в глубокий бан. Проверка достаточно проста — если нет русских букаф — значит злодей.

Итак. Сначала создаем табличку. Если кто не в курсе, то в Evolution есть возможность производить запросы из админки, для этого идем по цепочке: Инструменты -> Резервное копирование -> Восстановить -> Выполнить произвольную команду SQL.

Вставляем — выполняем. (префикс здесь не важен, но можете поменять на свой).

CREATE TABLE IF NOT EXISTS `modx_ip_blocked` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `ip` varchar(16) NOT NULL,
  `blocked` tinyint(4) NOT NULL,
  `when` varchar(18) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `id` (`id`),
  UNIQUE KEY `ip` (`ip`)
) ENGINE=InnoDB  DEFAULT CHARSET=utf8 AUTO_INCREMENT=1 ;

После этого идем в плагины и созадем плагинчик на 'OnBeforeLoadDocumentObject' и 'OnLoadWebPageCache'.

//<?php 
	$e = $modx->Event;
	$ip = $_SERVER["REMOTE_ADDR"];
	$tbl = $modx->getFullTableName('ip_blocked');
	if ($modx->db->getValue("Select count(*) from $tbl where `ip`='$ip'")==1)
	{
	exit('С вашего IP производилась попытка отправки спама. Ваш адрес занесен в черный список. From your IP was trying to send spam. Your address is listed in Carini list.');			
	}
	if ($e->name == 'OnBeforeLoadDocumentObject' || $e->name == 'OnLoadWebPageCache')
	{	
		if ($_POST['validate'])
		{
		if ((!preg_match('/[а-яА-Я]{1,}/', $_POST[$_POST[validate]])) or (!isset($_POST[$_POST[validate]])))
			{
				$modx->db->insert(array('ip'=>$ip,'blocked'=>1,'when'=>time()),$tbl);
				exit('Ваше сообщение подозрительно похоже на спам. Поэтому его отправка была отклонена, а ваш IP занесен в черный список. Your message sounds suspiciously like spam. Therefore, his submission was rejected and your IP blacklisted.');
			}	
		}		
	}

Ну а теперь для того, чтобы указать какое именно поле проверять вставляем в форму скрытый инпут с именем validate и значением в виде имени проверяемого поля. Допусти, если мы хотим проверять по полю message, то вставляем такую строчку в форму.

<input type="text" name="validate" value="message" style="display:none;"/>

Обратите внимание: не type=«hidden», а style=«display:none;». Это связано с тем, что eForm не любит скрытые поля кроме идентификатора формы.

Алексей Либер
07.08.16 в 06:08

Комментарии (10)

Игорь Сухинин 08.08.2016 11:14 #

Wow-wow. А чем Recaptcha от Google не угодила то? Зачем такие извращения? Да и Ваша проверка на validate… какая-то странная, мягко говоря.

P.S.: английский перевод ужасен.
1. Алексей Либер 08.08.2016 11:31 #
  
  Перевод гугловский. Рекаптча2 — хорошее решение, легко интегрируется с FormIT и Revo, но требует определенных манипуляций… Плюс к этому — я же никого насильно не заставляю выбирать мой вариант. Я просто расширяю возможности — кто захочет, тот проверит. На счет validate — можно и без него, и записать ручками имя поля. Но вдруг у вас на сайте еще есть чат, и там тоже есть поле message, и кто-то кому-то отправит строчку из англоязычной песни?.. небольшая предусмотрительность.
Игорь Сухинин 08.08.2016 11:43 #

>> Перевод гугловский
Лучше не писать ничего на другом языке, чем писать так. Для иностранца и так весь сайт не будет на английском — он его целиком будет переводить в Google Translate, если уж на то пошло. И тогда он будет гораздо более лоялен к автоматическим ошибкам. Так что, IMHO, не имеет смысла сюда впихивать кривой английский язык.

>> Рекаптча2 — хорошее решение
Относительно Вашего — это не хорошее, а на порядки лучшее решение. Ничего личного, но это просто факт.

>> но требует определенных манипуляций…
Да какие там манипуляции, я Вас умоляю :) Тем не менее, было бы гораздо полезнее, если бы Вы описали как раз эти манипуляции, чем предоставили заведомо плохое решение для блокировки спама. Что свое — это похвально. Но, к сожалению, оно плохое. Гораздо хуже существующих аналогов.

Я бы еще понял, ну если бы Вы предложили, скажем, подключить стороннюю библиотеку от Akismet (вроде у них же есть public API?). Но хотя что там, проверка элементарно делается. Тем не менее, для многих и это было бы откровением :) Но вот проверять так, как делаете Вы… Это слишком примитивная проверка, которая достаточно легко обходится спамерами.
1. Алексей Либер 08.08.2016 11:50 #
  
  но которая уже отправила в спам за день девять писем. Еще раз повторюсь — не нравится — не ешьте. Я никого не заставляю. Прикрутить Akismet — было желание, и возможно даже сделаю позже. В моем примере, как и во многих других, я даю участникам болванку, которую можно докрутить по своему усмотрению. Хотите оставляйте так. Хотите по другому. Тут идея не только в самой проверке на спам, но и в реализации проверки через плагин. Я не претендую на 100% универсальность. И пусть даже мое решение «плохое», но оно работает, а Ваших решений я почему-то не увидел. Поэтому — дальнейший разговор бессмыслен.
  1. Игорь Сухинин 08.08.2016 12:03 #
    
    Алексей, Вы зря обижаетесь. Не концентрируйтесь на личностях, я не намерен Вас обижать. Я критикую не Вас и не Ваше желание помочь людям. Наоборот, я это всегда только приветствую. Моя критика направлена только на желание улучшить этот код. Он на самом деле слишком примитивен. Подключить Akismet — да там работы то на 10 минут, чтобы изменить Ваш код и в условном IF делать проверку не на наличие корректного validate, а проверять с помощью определенного запроса ответ от сервера Akismet. Да, пользователю придется зарегистрировать свой ключ — ну и что, не ахти какая проблема. Равно как при использовании Recaptcha это пришлось бы сделать. В итоге при совсем небольшой модификации Ваш код становится в разы полезнее.
    
    P.S.: Что касается моего кода… дорогой друг, Вы находитесь на modx.ru, который был написан отчасти и мной или под моим надзором. Кажется, этот продукт полезен сообществу MODX. Хочется надеяться, что это так :)
    1. Алексей Либер 08.08.2016 12:06 #
      
      После пысы — вопросов нет) На счет прикручивания чего-то дополнительного — я когда писал сей код хотел прирутить проверку на спам от Яши, но как выяснилось — их сервис канул в лету. Как прикрутить Akismet — я знаю, но тупо лень) Но раз уж настаиваете — из дедлайнов выйду — напишу и опубликую новую статью)
      1. Игорь Сухинин 08.08.2016 12:33 #
        
        Я не настаиваю, это же дело сугубо добровольное :) Никто здесь никому ничего не должен. Но если есть возможность, то лучше будет доделать код.
        
        Алексей Либер 08.08.2016 12:36 #
        
        просто я как-то написал плагин, который забирает картинки с чужих сайтов при сохранении страницы. Код так же бы не идеален. И одна из участниц взяла и допилила его таким образом, что под ревой можно забирать целиком страницу. Я достаточно часто вижу, что людей иногда нужно подталкивать) У самих руки не доходят, а как видят мое безобразие, берут и доделывают, в итоге получаем хорошие продукты)
Dmi3yy 08.08.2016 16:48 #

Интересное решение но есть 1 нюанс. Я бы делал с помощью eForm, благо у него есть события, все тут в целом не нужен доп плагин который всегда будет срабатывать даже когда не нужен :)
1. Алексей Либер 08.08.2016 16:52 #
  
  Дим, честно — пытался я запустить на beforeSendMail или чего-то там. Но! Мы должны вызвать функцию, а она из плагина в упор вызываться не хотела. А писать, как обычно [!SnippetName!][!eForm!], (где в SnippetName висит необходимая функция) — как-то не хотелось. Да и проверку на вхождение в черной список хотелось бы сразу сделать… Поэтому реализовал и через поле validate.

Для добавления комментариев вы должны авторизоваться или зарегистрироваться.