Formulario seguro contra fake

[Diego Rinno 35]

pelos cookies da para reconhecer que eh ele msm como ?

 

me explica melhor por favor

Oi, desculpa a demora, eu tive que viajar e fiquei sem acesso à internet por alguns dias.

 

Mas então, quando você envia um cookie pro computador da pessoa, esse cookie vai servir pra identificar a pessoa. Por exemplo, você poderia enviar os cookie com os valores: conta de usuário, ip do último acesso e um token de segurança.

 

Você iria então elaborar um script pra criar um token de segurança (uma sequência única de caracteres aletórios) e enviá-lo em forma de cookie pro computador do usuário, um outro com o IP dessa pessoa e ainda um outro cookie com o login ou o email, sei lá, algum dado que não se repita no seu banco de dados, um dado que cada pessoa tenha e seja somente dela (vamos fazer de conta que é o login do cara nesse exemplo).

 

Agora vamos aos exemplos práticos. Usando o token de segurança, você vai fazer um timeout com javascript (e possivelmente Ajax) pra ficar verificando se o IP da pessoa mudou a cada x horas/minutos/segundos, o que lhe for mais útil. Caso tenha mudado, você vai ter que requerer uma nova identificação do usuário. Resumindo: caso o cidadão use proxy ou mude o IP de acesso manualmente, ele vai ter que acessar novamente, registrando no seu banco de dados que ele modificou o IP e fez um novo acesso por meio daquela conta de usuário. Isso serve só como registro, assim você vai poder armazenar em um arquivo ou no banco de dados mesmo esse log de acessos pra caso você suspeite de algum usuário safadinho fazendo besteira, daí é só pesquisar pelo nome de usuário que foi armazenado e achar a listagem de acessos da pessoa. Isso é como uma câmera de segurança, serve como log só. Você não evita que se faça, mas torna possível que você consiga punir a pessoa que fez besteira, talvez com um ban temporário ou permanente na conta.

 

Quando ao cookie com o nome de usuário do cara, serve pra você armazenar no seu arquivo de log de acessos também, pra poder identificar posteriormente de quem é o registro. E você pode usar esse cookie com o mesmo objetivo do token de acesso. Caso o usuário acesse pelo mesmo IP, mas modifique o nome de usuário dele, então você já vai ter tudo isso no seu arquivo de log.

 

É uma solução bastante ruim pra caso você tenha muitos usuários e trabalhe sozinho na maioria dos casos. Ler toneladas de arquivos de log você sozinho não é nada legal. Mas, como ninguém faria isso, você pode armazenar o log de todos os usuários normalmente, mas quando você vir que o cara fez besteira, é só ir lá no log e buscar pelo nome do cidadão e ver o que ele tem feito dentro do seu sistema. Você pode salvar as postagens que a pessoa faz também (mas isso consome muito espaço em banco de dados), pra ter acesso mesmo que ela apague depois de um tempo. Assim você teria mais argumentos pra comprovar que ela fez besteira.

 

É isso, dá trabalho mas se você não for usar moderação é tudo o que pode ser feito.

 

Ah, uma coisa que esqueci de dizer é que pra verificar se o toke ou o IP do cara mudou você vai ter que armazenar esse mesmo valor num campo do banco de dados também. Nesse campo nenhum dado vai ser permanente, então em vez de fazer um INSERT você vai ter que fazer um UPDATE pra ir trocando o que tá armazenado. Por isso que eu disse que talvez precise do Ajax, pra fazer a requisição ao banco de dados, já que você vai precisar trabalhar com timeout. Eu sou péssimo em Ajax, mas creio que seja isso mesmo.

[Thiago Duarte 23]

Oi, desculpa a demora, eu tive que viajar e fiquei sem acesso à internet por alguns dias.

 

Mas então, quando você envia um cookie pro computador da pessoa, esse cookie vai servir pra identificar a pessoa. Por exemplo, você poderia enviar os cookie com os valores: conta de usuário, ip do último acesso e um token de segurança.

 

Você iria então elaborar um script pra criar um token de segurança (uma sequência única de caracteres aletórios) e enviá-lo em forma de cookie pro computador do usuário, um outro com o IP dessa pessoa e ainda um outro cookie com o login ou o email, sei lá, algum dado que não se repita no seu banco de dados, um dado que cada pessoa tenha e seja somente dela (vamos fazer de conta que é o login do cara nesse exemplo).

 

Agora vamos aos exemplos práticos. Usando o token de segurança, você vai fazer um timeout com javascript (e possivelmente Ajax) pra ficar verificando se o IP da pessoa mudou a cada x horas/minutos/segundos, o que lhe for mais útil. Caso tenha mudado, você vai ter que requerer uma nova identificação do usuário. Resumindo: caso o cidadão use proxy ou mude o IP de acesso manualmente, ele vai ter que acessar novamente, registrando no seu banco de dados que ele modificou o IP e fez um novo acesso por meio daquela conta de usuário. Isso serve só como registro, assim você vai poder armazenar em um arquivo ou no banco de dados mesmo esse log de acessos pra caso você suspeite de algum usuário safadinho fazendo besteira, daí é só pesquisar pelo nome de usuário que foi armazenado e achar a listagem de acessos da pessoa. Isso é como uma câmera de segurança, serve como log só. Você não evita que se faça, mas torna possível que você consiga punir a pessoa que fez besteira, talvez com um ban temporário ou permanente na conta.

 

Quando ao cookie com o nome de usuário do cara, serve pra você armazenar no seu arquivo de log de acessos também, pra poder identificar posteriormente de quem é o registro. E você pode usar esse cookie com o mesmo objetivo do token de acesso. Caso o usuário acesse pelo mesmo IP, mas modifique o nome de usuário dele, então você já vai ter tudo isso no seu arquivo de log.

 

É uma solução bastante ruim pra caso você tenha muitos usuários e trabalhe sozinho na maioria dos casos. Ler toneladas de arquivos de log você sozinho não é nada legal. Mas, como ninguém faria isso, você pode armazenar o log de todos os usuários normalmente, mas quando você vir que o cara fez besteira, é só ir lá no log e buscar pelo nome do cidadão e ver o que ele tem feito dentro do seu sistema. Você pode salvar as postagens que a pessoa faz também (mas isso consome muito espaço em banco de dados), pra ter acesso mesmo que ela apague depois de um tempo. Assim você teria mais argumentos pra comprovar que ela fez besteira.

 

É isso, dá trabalho mas se você não for usar moderação é tudo o que pode ser feito.

 

Ah, uma coisa que esqueci de dizer é que pra verificar se o toke ou o IP do cara mudou você vai ter que armazenar esse mesmo valor num campo do banco de dados também. Nesse campo nenhum dado vai ser permanente, então em vez de fazer um INSERT você vai ter que fazer um UPDATE pra ir trocando o que tá armazenado. Por isso que eu disse que talvez precise do Ajax, pra fazer a requisição ao banco de dados, já que você vai precisar trabalhar com timeout. Eu sou péssimo em Ajax, mas creio que seja isso mesmo.

 

Ola amigo

 

Se o cara que vai esta preenchendo o formulario, entao como eu vou enviar um cookie para o computador dele ?

[Diego Rinno 35]

Ele precisa fazer login? Se sim, envie durante o script que faz o login dele. Se não, envie pelo script que envia pra você ou salva o os dados formulário. Qualquer dado de formulário vai passar por um script php (não necessariamente, mas já que estamos na área de php, vou imaginar que sim), e é nesse script que você vai enviar os dados pro seu arquivo de log, assim como setar os cookies no computador da pessoa. Mas.... moderação é o método mais prático pra tudo isso, utilize o log só se quiser mais segurança (por precaução, por exemplo) ou se não tiver outro jeito mesmo.

 

obs: a parte do cookie com o token de acesso é só pra caso a pessoa precise estar logada no seu sistema antes de postar alguma coisa, senão perde o sentido.

[Thiago Duarte 23]

Ele precisa fazer login? Se sim, envie durante o script que faz o login dele. Se não, envie pelo script que envia pra você ou salva o os dados formulário. Qualquer dado de formulário vai passar por um script php (não necessariamente, mas já que estamos na área de php, vou imaginar que sim), e é nesse script que você vai enviar os dados pro seu arquivo de log, assim como setar os cookies no computador da pessoa. Mas.... moderação é o método mais prático pra tudo isso, utilize o log só se quiser mais segurança (por precaução, por exemplo) ou se não tiver outro jeito mesmo.

 

obs: a parte do cookie com o token de acesso é só pra caso a pessoa precise estar logada no seu sistema antes de postar alguma coisa, senão perde o sentido.

 

Ola amigo, obrigado pela resposta

 

sera que isso é dificil de fazer ?

 

voce conhece algum site que tenha tutorial para explicar melhor ?

 

Abraços

[Diego Rinno 35]

Eu to no trabalho agora e só saio amanhã cedo, pela manhã. Mas eu mesmo vou montar um exemplo pra você ver como eu faria e daí te envio os links com a página em funcionamento e te envio os arquivos que eu vou criar também, pra você poder estudar o código :D

 

obs: Vou fazer o mais rápido possível, rs

[Dellacurtais 36]

Vc pode fazer seria um arquivo com palavras bloqueadas kkkk, e substituir por *** que seria um trabalho muiiito difícil de se fazer, pois criar uma lista com isto tudo seria muiito complicado, mais de qualquer forma lutar contra os Trolls é muito complicado, não existe uma forma de bloquear 100%,

 

se vc usar cookies, o usuário pode facilmente limpar os cookies, se bloquear o ip, pode se usar um proxy, ou simplesmente reiniciar o moldem kkkkkk,

 

Então praticamente muuito complicado, isto é feito com moderação, deixe um moderador de plantão kkk

 

Ou vc pode fazer um sistema de comentários no qual ele é postado apos confirmação da administrção, ou seja, a pessoa envia o comentário e na administração vc permite ou não aquele comentário ser exibido!

 

Resumindo, sem um moderador para controlar isto, os trolls vão ser sempre Trolls kkkk

[Thiago Duarte 23]

Olá, sera que existe plugin em wordpress que ajude nisso ?

 

Abraços