Как запретить отправку формы в течении 30 минут?

Question

[Василий]

Есть форма на лендинге, но последнее время ее стали досить, приходят подряд по 20 писем с 1 IP, вчера уже заблочил ip на хостинге, а форма все равно отправляет. Как бы сделать так чтобы пользователь мог отправить форму только 1 раз скажем в течении 30 минут?

Comments

[Василий]

пока добавил капчу а дам будем смотреть, спасибо за наводки

Answer 1

[Зелимхан Бельтоев]

Форму оставляете как есть, а в БД создаете табличку с полями: IP, время отправки, еще какие-то данные, чтобы идентифицировать пользователя.

После этого каждый раз при получении данных от формы сверяете, не повторная ли это отправка и прошло ли уже полчаса. Если всё путём, отправляете данные на почту, а данные пользователя снова пишите в БД. Если нет - игнорируете.

Важен факт того, чтобы злоумышленник всё так же думал, что вредит вам, хотя на самом деле вы его давно обошли. Так он не будет пытаться придумывать новые способы вам что-нибудь испортить

Comments

[Макс]

+100500 просто и надежно. Единственное - так могут положить и БД. заодно

[Зелимхан Бельтоев]

Макс: можно раз в сутки чистить таблицу от старых записей, так как они актуальны только на время жизни записи (30 минут в нашем случае). А если злоумышленник всё это дело проворачивает с одной машины, то даже если он будет писать круглые сутки подряд, до нас дойдет только 2 письма в час, что равно 48 письмам в сутки. А если в дальнейшем увеличить интервал, скажем так, до 2-3 часов, получаем еще меньше (плюс, если он шлет одни и те же данные, дополнительно делаем фильтр по ним при отправке)

[Валентин Дубровский]

Зелим Бельтоев: скорей тут надо юзать redis ставить ключ по ip пользователя и ещё каким-данным, и делать на этот ключ ttl на 30 минут.

[Зелимхан Бельтоев]

Валентин Дубровский: кстати, да, не подумал о кешировании. Самый идеальный вариант, чтобы БД не насиловать

Answer 2

[sbh]

Добавить капчу - как самое простое.
Добавлять куки файл пользователю где ставите отметку входа например.
Далее после нажатия кнопки сверяете разницу во времени между значением из куки и текущим временем.

Comments

[Dimon]

я тоже думаю, что "капча" должна помочь.

[Sanes]

Dimon: плохая идея, конверсия может упасть

[Dimon]

Sanes: ну если это форма заказа товара, то согласен. Но мне кажется, что это просто форма типа 'Contact Us'.

[Василий]

вы правы форма обратного звонка

Answer 3

[Нурлан]

Новые капчи, иногда не нужно вбивать символы:
https://nocaptcha.mail.ru/
https://www.google.com/recaptcha/intro/index.html

Если форму заполняет бот(именно бот, не человек автоматизирует процесс), то можно создать

<input type='password' name='password' class='hide-me'>

и проверять, если на сервере $_post['password'] не пустой, значит его автоматом забил бот. Либо наоборот, скрытое заполненное поле, при клике по кнопке "отправить" js его обнуляет. Зависит конечно от бота, но событие click они часто не вызывают, значит при отправке формы наше поле не будет пустым, что снова должно насторожить.

Идеально выяснить, как точно вас спамят и от этого отталкиваться.
Ну и на сервере проверять, что была ли заявка с этого ip. Чтобы не вспугнуть реального пользователя, можно делать, что если повторная заявка в течение получаса, то выводить сообщение, что заявка уже была принята и мы свяжемся как только сможем.