Кто-то пытается меня взломать? (Объясните, что за запросы)?

Question

[arsenaljek]

Есть форма на сайте. Пишу в бд, то, что туда вводят пользователи(!или не пользователи)
Вот пример

spoiler

Что это? попытка взлома? с этим можно как-то бороться? или не стоит обращать внимание?
Такие запросы регулярно сыпятся через формы

Comments

[datka]

Похоже на SQL Injection, но это не точно.

[Hemul GM]

datka, временная блокировка по ip

Answer 1

[Рональд Макдональд]

Ну да, пытаются сделать SQL Injection.
Ставьте ограничение на кол-во отправлений в минуту, капчу, блокировку массовых запросов.

Comments

[arsenaljek]

а можно поподробнее про "блокировку массовых запросов". Алгоритм хотя бы, если не сложно)

[Рональд Макдональд]

arsenaljek, ну вот пять запросов за секунду - это много. Таких блокируете по IP.
Можно через fail2ban, инструкций в сети много.

[Сергей Горностаев]

arsenaljek, вам бы лучше обратить внимание на первую строку ответа и перестать использовать конкатенацию строк для формирования запросов к базе.

[arsenaljek]

Сергей Горностаев, а можете разжевать более подробно? не совсем понял, что вы имеете ввиду под " использовать конкатенацию строк для формирования запросов к базе."?

[Сергей Горностаев]

arsenaljek, wikipedia: Внедрение SQL-кода

[Ищю в поисковиках]

arsenaljek, самая примитивная проверка - повесить куки браузеру и проверить, что куки использовалась.

Либо картинку в 1х1 пиксель, со сломанным кешированием (если клиент её запрашивал в течении полу часа, то доступ разрешить).

[Lynatik001]

Я думал sql инеекции это 20 летние методы что давно уже не работают. Как ещё только оооочень давно знакомился с пхп уже знал, что до этого Нада переменную через метод удаления всех спецсимволов проганять

Answer 2

[Андрей]

А ещё можно заюзать примитивную, но всегда работающую dummy защиту.
Добавь скрытое поле и проверяй.
Если оно заполнено, то можешь сразу в бан отправлять