PHP4 gehört ja schon länger zum alten Eisen, auch wenn die 4′er Version bei vielen Providern immer noch per default gewählt bzw. angeboten wird, so ist nur noch ein “Historical Stable” und man sollte langsam aber sicher zum “Current Stable” übergehen.

Ich werde mich hier wohl daher die Tage auch vom alten PHP4 verabschieden …

Ich habe es also ab heute dann auch aktiviert und schaue mir das mal eine Zeit lang an. Mal sehen, wie das so läuft, wie es sich bei Spam verhält und wie oder ob es überhaupt angenommen wird.

Für alle die es noch nicht kennen. Das Plugin linkt selbstständig eine Abfrage mit einer einfachen Matheaufgabe in die Formularfelder der Kommentare ein, die kein Problem für den User darstellen sollte, aber den Bots das Leben erschwert. Der Vorteil für mich liegt dabei darin, das mir das extrem mühselige und lästige Sichten der von Akismet ausgefilterten Kommentare vereinfacht wird.

Zumindest die ersten Tests ergaben keine Probleme mit Kommentaren und Trackbacks, die Feeds scheinen jetzt auch mit Netvibes zu funktionieren und der Blog überlebte eine Deinstallion (nur zu Testzwecken) des Plugins … schauen wir mal ob das auch so bleibt …

Mal sehen wie weit das jetzt hilft und drückt die Daumen, dass nicht wieder irgendwelche anderen Probleme z.B. mit Trackbacks etc. auftauchen …

Rolle, ein sehr guter Bekannter, der hier gerne auch mal einen Kommentar schreibt, landet hier seit kurzem leider grundsätzlich im Filter. Wäre ja normal nicht weiter tragisch, man kann ihn ja wieder herausfischen. Aber es nervt ungemein, wenn man am Tag über 100 Spameinträge im Filter hat und dann nur diesen einen zufällig finden soll.

Gesagt, getan, “Did you pass math?” lässt sich einfach installieren und blendet ein zusätzliches Formularfeld für Kommentare ein, in dem das Ergebnis einer simplen Rechenaufgabe eingetragen werden muss, ehe der Kommentar abgesendet werden kann. So weit, so gut. Sah auf den ersten Blick alles wie gewünscht aus und schien auch zu funktionieren. Doch dann bemerkte ich, dass meine Feeds auf Netvibes nicht mehr ausgelesen werden konnten. Unschön, zumal ich diesen Service exzessiv nutze. Na ja, O.K. dachte ich, dann deaktiviere ich es halt mal Testweise. Doch denkste, ab da ging nichts mehr. Der Blog war tot. Selbst nach einer Löschung des Addons ging nichts mehr. Mir blieb nur, das Backup, das ich zum Glück jede Nacht automatisch anlege, wieder einzuspielen.

Da ich mir die Sache jedoch nicht erklären konnte, habe ich den ganzen Vorgang erneut nach Anleitung und einmal noch mit Änderungen in den Optionen im Source wiederholt. Nichts! Immer das gleiche Ergebnis und immer ein totaler Crash.

Ergo, wenn jemand ein einfaches Addon kennt, das dieses erfolgreich macht, ohne gleich irgendetwas im Blog erfolgreich kaputt zu manipulieren oder evtl. auch sich mit einem anderen Plugin nicht verträgt (kann ja durchaus sein, dass dieses Plugin woanders gut funktioniert) … ich bin für alles offen. Nur dieses Addon kommt mir nicht wieder in den Blog!

Klasse, ich mir den Source angeguckt und erst mal nicht verstanden wie. Hmh, zum Glück war Ulf im msn online und konnte mir auf Anhieb viel weiter helfen, weil er mit selbigem Problem auch schon konfrontiert war.

Ich hatte eine Variable nicht abgesichert, so dass über diese dem Script Code über das Formular untergeschoben werden konnte. Aua! Damit euch das nicht auch mal passiert, hier die IMHO wichtigste Absicherung, für vom User übergebene Daten:

string strip_tags ( string str [, string allowable_tags] )

Damit werden alle HTML Tags und php Befehle aus dem Inhalt gelöscht!

Zusätzlich würde ich auch noch alle Schrägstriche entfernen:

string stripslashes ( string str )

Weiter zu empfehlen, wie man Formulardaten absichert, ist u.a. auch folgender Link aus der “FAQ der Newsgroups de.comp.lang.php.*”:

12.11. Prüfe importierte Parameter. Traue niemandem

Zuätzlich habe ich noch eine IP-Sperre davor gestrickt, so dass es so jetzt ohne weiteres nicht mehr möglich ist mehr als eine Mail alle 10 Minuten von ein und dem selben Rechner abzuschicken. O.K. kein hundertprozentiger Schutz, da die Bots wohl mehrere IPs verwenden können, aber ich hoffe es hemmt zusätzlich und so wie es aussieht, ist seit dem Ruhe.