[Se7en]

Ben böyle dandik bir bug görmedim. X sitesinde uyelik sistemi olan bir site diyelim. Herhangi bir flood programiyla

www.xxx.com/user.php?mail=cenk@flythy.com&op=1 (bu kendi sistemimdeki injection açığı, aynı şekilde forgot pass olayındaki alanları bulan herkes her sisteme (Vbulletin dahil) yapabilir.) aynen bu adresi flood programına yazıp dakikada 100 150 kere mail göndertebiliyor ve dolayısıyla serverin gücüne bağlı olarak MySQL ve mail server patlıyor. 1 saat açılmıyor.

Ben bu lamerleri nasıl önlerim? (PHP)
Aklıma bir yöntem geldi fakat arasamda scriptini bulamadım. Sıfırdan kendimde o kadar iyi bilmediğim için yazamadım. Aklıma gelen yöntem şu şekilde. Aynı ıp numarasından siteye 5 dakikada en fazla 3 user bağlanabilirse bu olayı başaramazlar.

Yardım edebilecek birileri var mı?

[uzaytek]

GD desteği varsa şu resimdaki yazıyı tanıyıp yazdırma yöntemini kullanabilirsin. Kod olarak daha önce hiç incelemedim ama fazla zor değildir.

bu link örnek olabilir:
http://www.devshed.com/c/a/PHP/Secur...d-ImageMagick/

[AnIL]

ayrıca MySQL e baglanmadan önce http_referrer ının senin siten olup olmadgini kontrol ettirebilirsin.

bu arada dandik bir bug dedigin şey aslında bir bug degil.. dünyadaki en iyi sitelerin bile birinci sorunudur flood.. bunu scriptle sadece MySQL e mailservera floodu engellersin işte.

ben ASP'de şu şekilde önlemeye çalışıyorum bu olayı.:

'//Burası formun gönderildiği sayfa
Private Sub IslemZamanSiniri(BlockTime)
Session.LCID = 1055
Session("AddingNewUSerControlFlood") = "YesThisIsControl"
Session.TimeOut = BlockTime
End Sub

If Session("AddingNewUSerControlFlood") = "YesThisIsControl" Then
Response.Write "Hata !"
Response.End
End If

StrSQL = "insert into tbluser (UMail,UName,USurname) values ('"& StrInpMail &"','"& StrInpName &"','"& StrInpSurname &"')"
Set ObjAddNewUser = ConnMy.Execute(StrSQL)
Set ObjAddNewUser = Nothing
Call IslemZamanSiniri(15)

Böylece veritabanına bilgi kaydedildiği anda "IslemZamanSiniri(15)" içindeki süre kadar bloklanlıyor. Tabi bu tam bir çözüm değil. Bu flood programlarının session.abandon özelliği felan vardır herhalde tam olarak bilemiyorum.

[stalker]

Evet session ile kontrol et. En sağlamı o.

[Se7en]

Neyse bir arkadaşım sağolsun ayarladı bişeyler. Bayağıda engelledi.

Kod:

<?PHP
$handler= $conID = mysql_connect ("localhost","DBUSER","DBSIFRE"); mysql_select_db("horozz" , $conID); //Senin Database bağlantın
$db_table = "onlineziyaretci";
$timeout="1"; //dakika ayari
$zeit =time();
$loeschzeit=$zeit-($timeout*60);
$ip= getenv(REMOTE_ADDR);
$file= $PHP_SELF;


$kontrol=mysql_query("SELECT * FROM $db_table",$handler);
$kontrol_sayisi= mysql_numrows($kontrol);

$kontrol_ip=	mysql_query("SELECT * FROM $db_table WHERE (ip LIKE '$ip')",$handler);
$kontrol_ip_sayisi= 	mysql_numrows($kontrol_ip);
if ($kontrol_ip_sayisi>7) {echo "Sitede 1 dakikada yapilacak islem sinirini astiniz. Lütfen 1 dakika sonra isleminize devam ediniz."; mysql_close($conID); exit;} //Kaç IP olduğunu belirle


//Database-Commands

$result=mysql_query("INSERT INTO $db_table VALUES ('$zeit','$ip','$file','$gotuser')",$handler);		
$result=mysql_query("DELETE FROM $db_table WHERE zeit<'$loeschzeit'",$handler);	

$result=mysql_query("SELECT DISTINCT ip FROM $db_table",$handler);

$onlineziyaretci=mysql_numrows($result);


?>

Lazım olan olursa kullansın kesin

[stalker]

ip ile kontrol güvenilir birşey değil ama. Firewall kullanan onlarca bilgisayar aynı ip'yi kullanıyor. Oysa açılan her bir browser penceresi için web server bir session id atıyor. Bu nedenle senin için daha uygun.