Защита сайта от спамеров через input pattern?

Question

[Alewan2010]

Добрый вечер!

У нас проблема: два сайта нашей компании попали в какие-то списки спамеров и ежедневно приходит более 40 заявок на почту с именем типа "58ebb537ee4e7" и почтой типа "g105a@yahoo.com".

Решили защититься с помощью ограничения для строки "Имя" - только кириллица ( с помощью pattern).

При ручной проверке формы всё отлично работает (с латиницей форму не отправляет). Однако спам заявки с именами типа "58ebb537ee4e7" продолжают приходить. В чём может быть проблема?

P.s. также не работает "required" в поле с телефоном. Заявки приходят без номера телефона.

Код формы с одного из сайтов:

<form class="form-horizontal" method="post" action="order.php">
                <fieldset>
                    <p class="contact-message">
                        <center><b><span style="font-size:30px; font-weight: 100;">ОСТАВЬТЕ ЗАЯВКУ</span><br><span style="font-size:20px; font-weight: 100;">наш менеджер Вам перезвонит!</span></b></center><br></p>
                    <div class="control-group"><label class="control-label" for="name">Введите имя</label>
                        <div class="controls"><input type="text" value="" name="name" required placeholder="Введите имя" pattern="^[А-Яа-яЁё\s]+$"></div>
                    </div>
                    <div class="control-group"><label class="control-label" for="phone">Введите телефон</label>
                        <div class="controls"><input type="text" value="" name="phone" required placeholder="Введите телефон" pattern="^[ 0-9]+$"></div>
                    </div>
                    <div class="control-group"><label class="control-label" for="email">Введите e-mail</label>
                        <div class="controls"><input type="text" value="" name="email" placeholder="Введите e-mail"></div>
                    </div>
					<input type="hidden" id="" name="formochka" value="Форма_1">
                </fieldset>
                <div class="control-group center"><button class="btn">Отправить &raquo;</button></div>
            </form>

Answer 1

[Максим]

Потому что то что приходит от клиента, нужно проверять, перепроверять и никогда не доверять.
То что в html у вас стоит "required" или паттерны, боту это по барабану, отослать по этим полям можно что угодно.

Comments

[Alewan2010]

Возможно можно сделать ограничение непосредственно в файле 'order.php', который посылает данные на почту?
Чтобы сообщения с именем не на кириллице не отправлялись на почту?

[Максим]

Alewan2010: по идее то что проверяется на клиенте, должно еще строже проверятся на сервере. Иначе спам - это самое меньшее из возможных зол :)
В целом да, проверяете в order.php все данные и уже там можно решить, живой человек или бот

[Alewan2010]

Максим: сможете подсказать, как сделать ограничение в order.php (прикрепляю его ниже)? Сделать только проверку имени, чтобы там была хотя бы одна буква и только кириллица.
Если в HTML ещё как-то разбираюсь, то в PHP совсем не понятно :)

<?php
header("Content-Type: text/html; charset=utf-8");
if($_SERVER["REQUEST_METHOD"] == "GET")
exit;

$email = "xxxxxxxxx@mail.ru";
$title = "Новый заказ. XXXXXX";
$from = 'XXXXXXXXX';
$text = 'Информация о заказе:

Товар: XXXXXXXXX (http://XXXXXXX.ru/)
Имя: '.@$_POST['name'].'
Телефон: '.@$_POST['phone'].'
Почта: '.@$_POST['email'].'
Время заказа: '.date("Y-m-d H:i:s").'

Форма: '.@$_POST['formochka'].'';
if(mail($email, $title, $text, "Content-type:text/plain; charset = utf-8\r\nFrom:$from"))
echo 
"<html><head><title>Спасибо за заказ!</title></head><body><div style='margin: 150px auto; width: 300px;'></div></body></html>
<meta http-equiv='refresh' content='0; url=./success.html' />";
else
echo "<h2>Ошибка! Попробуйте ещё раз!</h2>";
?>

[Максим]

Alewan2010: Если честно, то это проверка так себе, в смысле безопасности, но...

<?php
if (!preg_match('/[а-яА-ЯёЁ]+/', $_POST['name'])) {
	echo 'e';
	exit;
}

[Alewan2010]

Максим: Это вставить в самом начале перед кодом?

[Максим]

это сделать после первой проверки

if($_SERVER["REQUEST_METHOD"] == "GET")
exit;

if (!preg_match('/[а-яА-ЯёЁ]+/', $_POST['name'])) {
  exit;
}

"echo e" там лишнее было

[Alewan2010]

Максим: добавил. Сейчас посмотрим, будут ли продолжать приходить заявки или нет

[Максим]

Alewan2010: еще стоит проверить, будут ли нужные заявки проходить :)

[Alewan2010]

Максим: Спасибо! Работает!)

Только одна проблема осталась. Почти со всех браузеров нормально работает и пустые поля не позволяет отправлять. Однако, через сафари (в т.ч. с Айфона) отправляются пустые поля (т.е. обходит pattern и required), но блокируются Вашим кодом в order.php - поэтому выдает просто белый экран. )

[Максим]

Alewan2010: да, поэтому и говорю, что такой путь немного странный. Вот здесь можно посмотреть в каких версиях какая поддержка. Советую вместо простого выхода из php-скрипта, делать вывод какого-то сообщения.

[Alewan2010]

Максим: спасибо!