Spambots, CSRF token
bearbeitet von Raketenwilli> Ich habe gerade Ärger mit einem Bot.
> Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
>
> ~~~ PHP
> elseif ($_SESSION['token'] != $_POST['token']) {
> ...
> } elseif (...) {
> ...
> // der Bot kommt bis hierher
>
> ~~~
Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.
Wenn also steht
~~~PHP
<?php
$foo = false;
$bar = true;
$tok = true;
if ( $foo ) {
echo 'foo ist true'. PHP_EOL;
} elseif ( ! $bar ) {
echo 'bar ist false'. PHP_EOL;
} elseif ( $tok ) {
echo 'tok ist true'. PHP_EOL;
}
~~~
Dann wundere ich mich keine Sekunde darüber, dass
~~~
tok ist true
~~~
ausgegeben wird.
**Fazit:**
Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet. Auf jeden Fall ist es wie von Dir notiert.
Spambots, CSRF token
bearbeitet von Raketenwilli> Ich habe gerade Ärger mit einem Bot.
> Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
>
> ~~~ PHP
> elseif ($_SESSION['token'] != $_POST['token']) {
> ...
> } elseif (...) {
> ...
> // der Bot kommt bis hierher
>
> ~~~
Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.
Wenn also steht
~~~PHP
<?php
$foo = false;
$bar = true;
$tok = true;
if ( $foo ) {
echo 'foo ist true'. PHP_EOL;
} elseif ( ! $bar ) {
echo 'bar ist false'. PHP_EOL;
} elseif ( $tok ) {
echo 'tok ist true'. PHP_EOL;
}
~~~
Dann wundere ich mich keine Sekunde darüber, dass
~~~
tok ist true
~~~
ausgegeben wird.
**Fazit:**
Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet.
Spambots, CSRF token
bearbeitet von Raketenwilli> Ich habe gerade Ärger mit einem Bot.
> Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
>
> ~~~ PHP
> elseif ($_SESSION['token'] != $_POST['token']) {
> ...
> } elseif (...) {
> ...
> // der Bot kommt bis hierher
>
> ~~~
Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.
Wenn also steht
~~~PHP
<?php
$foo = false;
$bar = false;
$tok = true;
if ( $foo ) {
echo 'foo ist true'. PHP_EOL;
} elseif ( $bar ) {
echo 'bar ist true'. PHP_EOL;
} elseif ( $tok ) {
echo 'tok ist true'. PHP_EOL;
}
~~~
Dann wundere ich mich keine Sekunde darüber, dass
~~~
tok ist true
~~~
ausgegeben wird.
**Fazit:**
Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet.
Spambots, CSRF token
bearbeitet von Raketenwilli> Ich habe gerade Ärger mit einem Bot.
> Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
>
> ~~~ PHP
> elseif ($_SESSION['token'] != $_POST['token']) {
> ...
> } elseif (...) {
> ...
> // der Bot kommt bis hierher
>
> ~~~
Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.
Wenn also steht
~~~PHP
<?php
$foo = false;
$bar = true;
$tok = true;
if ( $foo ) {
echo 'foo ist true' . PHP_EOL;
} elseif ( ! $bar ) {
echo 'bar ist false' . PHP_EOL;
} elseif ( $tok ) {
echo 'bar ist true' . PHP_EOL;
}
~~~
Dann wundere ich mich keine Sekunde darüber, dass
~~~
bar ist true
~~~
ausgegeben wird.
**Fazit:**
Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet.
Spambots, CSRF token
bearbeitet von Raketenwilli> Ich habe gerade Ärger mit einem Bot.
> Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als `name` den wert `phone` hat, aber er scheint den token auszulesen. Finde ich merkwürdig.
>
> ~~~ PHP
> elseif ($_SESSION['token'] != $_POST['token']) {
> ...
> } elseif (...) {
> ...
> // der Bot kommt bis hierher
>
> ~~~
Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.
Wenn also steht
~~~PHP
<?php
$foo = false;
$bar = true;
$tok = true;
if ( $foo ) {
echo 'foo ist true'. PHP_EOL;
} elseif ( ! $bar ) {
echo 'bar ist true'. PHP_EOL;
} elseif ( $tok ) {
echo 'bar ist true'. PHP_EOL;
}
~~~
Dann wundere ich mich keine Sekunde darüber, dass
~~~
bar ist true
~~~
ausgegeben wird.
**Fazit:**
Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet.