Perl:DBI Gästebuch-Spam unterbinden (Datenbanken und Verzeichnisdienste)

[thread]14509[/thread]

Perl:DBI Gästebuch-Spam unterbinden

Leser: 21

Articles: hide open all | hide show old branches

+14 replies
tecker

2010-01-19 11:54
User since
2008-02-26
77 Artikel
BenutzerIn
Hi,

ich habe für eine Webseite ein Gästebuch gebastelt. Die Einträge werden via DBI in die MySQL Datenbank geschrieben. Über Perl-CGI werden die Formular-Daten an ein Skript übergeben und dort mache ich
Code (perl): (dl )

1 2 3 4 5 6

my $dbh = DBI->connect('DBI:mysql:DB_NAME', 'DB_USER', 'DB_PASSWORD', {PrintError => 1}); unless($dbh) { print( "Fehler beim Verbindungsaufbau zur Datenbank($DBI::errstr)\n"); exit(1); }
Beim Gästebucheintrag selbst frage ich noch eine Sicherheitsfrage ab, die eine Eingabe von "a + b =" erfordert und die natürlich auf Richtigkeit überprüft wird. Außerdem frage ich über eine JavaScript Funktion vor der Übergabe ans Perl-Skript ab ob sich "<a href=" in der Nachricht befindet und breche ggf. ab. Dennoch habe ich Spam im 30Min -Takt in meinem Gästebuch. Links zu Viagra-Seiten etc. ..

MySQL Injection? Wenn ja wie am besten schützen? Ist es evtl. fatal sein PW im Klartext im Perl-Skript zu lassen ..

Grüße
tecker
www.webentwickler24.com
- bianca
  
  2010-01-19 12:00
  
  User since
  2009-09-13
  7016 Artikel
  BenutzerIn
  
  Ich müsste dafür mehr vom Perl-Script, um etwas sagen zu können.
  Zeig uns doch mal die Teile, wo Du die Variablen aus CGI übernimmst, wo sie prüfst und wo Du sie in die DB schreibst.
  10 print "Hallo"
  20 goto 10
- renee
  
  2010-01-19 12:03
  
  User since
  2003-08-04
  14371 Artikel
  ModeratorIn
  
  Das ist kein SQL-Injection. Da wird "ganz normaler Text" in der DB gespeichert. Die JavaScript-Überprüfung reicht nicht aus, weil viele Bots das JavaScript nicht auswerten. Du solltest die Überprüfung des Inhalts auch noch im Perl-Skript machen.
  
  Auch wenn das Spam-Problem nichts damit zu tun hat: Ich würde Zugangsdaten auslagern und in einer Konfig-Datei ablegen, die "von außen" nicht erreichbar ist.
  OTRS-Erweiterungen (http://feature-addons.de/)
  Frankfurt Perlmongers (http://frankfurt.pm/)
  --
  
  Unterlagen OTRS-Workshop 2012: http://otrs.perl-services.de/workshop.html
  Perl-Entwicklung: http://perl-services.de/
- moritz
  
  2010-01-19 12:04
  
  User since
  2007-05-11
  923 Artikel
  HausmeisterIn
  
  Noch eine Idee: Ich finde Net::Akismet recht praktisch, das ist ein zentraler Spam-Filter für Kommentare. Einen API-key bekommst du kostenlos, wenn du dich bei wordpress.com anmeldest.
  Perl 6 - Perls Zukunft
- +2 replies
- tecker
  
  2010-01-19 12:26
  User since
  2008-02-26
  77 Artikel
  BenutzerIn
  Ok danke erstmal. Das die Funktion im JS nicht bringt beim disablen von JS im Broswer liegt natürlich auf der Hand. Hab jetzt in meinem Skript mal noch ein
  
  Code (perl): (dl )
  
  if ($nachricht =~ /<a href=/g){exit(0)};
  
  hinzugefügt. Hatte bis lang die Validerung nur im JS abgebildet und nicht im Perl-Skript selbst.Das mit dem Auslagern der Konfig-Daten werde ich auch noch machen.
  www.webentwickler24.com
  - bianca
    
    2010-01-19 12:28
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2010-01-19T11:26:49 tecker
    etzt in meinem Skript mal noch ein
    
    Code (perl): (dl )
    
    if ($nachricht =~ /<a href=/g){exit(0)};
    
    hinzugefügt. Hatte bis lang die Validerung nur im JS abgebildet und nicht im Perl-Skript selbst.Das mit dem Auslagern der Konfig-Daten werde ich auch noch machen.
    
    Au weia!
    Ganz übel. Was passiert wenn der Tag mal <a target="_top" href="..."> lautet?
    Wieviele Varianten willst Du abfragen? Ich glaube, Du solltest nach anderen Lösungen Ausschau halten.
    10 print "Hallo"
    20 goto 10
- GwenDragon
  
  2010-01-19 12:32
  
  User since
  2005-01-17
  14761 Artikel
  Admin1
  
  Du könntest HTML::Tagfilter verwenden, um bestimmtes HTML auszufiltern.
  
  Net::Akismet hat auch öfters Fehlalarme.
  
  Ansonsten solltest du auch nach BBCode-Tags schauen wie [url] oder [url= dir URL einbinden
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +2 replies
- GwenDragon
  
  2010-01-19 12:53
  
  User since
  2005-01-17
  14761 Artikel
  Admin1
  
  MySQL-Injections kannst du nur verhindern, indem du die eingelesenen CGI-Parameter im Skript überprüfst.
  
  Und indem du folgendes tust: Platzhalter verwenden. DbiPlatzhalter
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - sid burn
    
    2010-01-19 13:30
    
    User since
    2006-03-29
    1520 Artikel
    BenutzerIn
    
    2010-01-19T11:53:33 GwenDragon
    MySQL-Injections kannst du nur verhindern, indem du die eingelesenen CGI-Parameter im Skript überprüfst.
    
    Und indem du folgendes tust: Platzhalter verwenden. DbiPlatzhalter
    
    Wenn man Platzhalter verwendet, gibt es dann weiterhin möglichkeiten für SQL-Injections? Zumindest ist mir keine bekannte aber vielleicht kenne ich da ja nicht alles. Ich frage weil du beides mit "und" in einer Bedingung packst.
    Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
- +5 replies
- sid burn
  
  2010-01-19 13:32
  
  User since
  2006-03-29
  1520 Artikel
  BenutzerIn
  
  Du könntest bessere Captcha Felder nehmen die schwerer sind für maschinen zu erraten. Zum Beispiel: http://images.encyclopediadramatica.com/images/8/8...
  Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
  - bianca
    
    2010-01-19 13:41
    
    User since
    2009-09-13
    7016 Artikel
    BenutzerIn
    
    2010-01-19T12:32:12 sid burn
    http://images.encyclopediadramatica.com/images/8/8...
    
    GEIL!
    Das ist echt gut!
    10 print "Hallo"
    20 goto 10
  - +3 replies
  - GwenDragon
    
    2010-01-19 13:51
    
    User since
    2005-01-17
    14761 Artikel
    Admin1
    
    Das Mathe-Captcha hilft auch gegen nicht-wissenschaftlich gebildete Leute. Solche Rechcaptchas sind eine echte Hürde. Wohl nur für Mathe-geeks.
    die Drachin Gwen
    
    Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
    - +2 replies
    - sid burn
      
      2010-01-19 16:15
      
      User since
      2006-03-29
      1520 Artikel
      BenutzerIn
      
      Das Ergebnis war übrigens glaube ich "-3" Wenn man genau weiß wie die "Griechischen?" Zeichen in ASCII übersetzt werden kann man das 1:1 Wolfram Alpha geben und er rechnet das aus. :)
      Nicht mehr aktiv. Bei Kontakt: ICQ: 404181669 E-Mail: perl@david-raab.de
      - esskar
        
        2010-01-19 16:18
        
        User since
        2003-08-04
        7321 Artikel
        ModeratorIn
        
        Net::Akismet ist dein freund.
        benutz ich, bei "spam" kommt ne seite, dass der eintrag als spam gehalten wird und deswegen umformatiert werden sollte, falls doch mal ein user was seltsames eingeben sollte.

View all threads created 2010-01-19 11:54.