Die Integration von google reCaptcha in ein bestehendes ZVV

kürzlich meine Website erhalten hat, eine Menge von spam über meine Zahlungen form, und ich habe mich entschieden, ich muss noch ein captcha um dies zu verhindern.

Ich war auf der Suche auf ein paar Optionen und ich beschlossen zu gehen mit Googles reCaptcha. Es scheint einfach genug einzurichten und zu verwenden, aber ich ' ve wurde läuft in ein paar Probleme.

Erstens habe ich diese script im header der form:

<script src='https://www.google.com/recaptcha/api.js'></script>

Habe ich dann die eigentlich captcha sich am Fuß des Formulars:

<div class="g-recaptcha" data-sitekey="6LdOVv4SAAAAAJ4muJvo_vD7vsd9T9QIfkEwcO7y"></div>

Wenn ich das Formular abschicken ich Folgendes tun:

$captcha = $_POST["g-recaptcha-response"]; //Get Captcha token
$secret_key = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; //Get Secret key
$google_response = http_get("https://www.google.com/recaptcha/api/siteverify", array("secret"=>$secret, "response"=>$captcha), $info); //perform Get request
print_r($info);

Aber nichts ist passiert, in der Tat die Seite, die Sie verwendet, um die Arbeit hängt nur und nicht einmal eine Fehlermeldung angezeigt. Irgendwelche Ideen was ich tun könnte falsch? Von meinem Verständnis der Dokumentation, die Antwort wird in JSON und der Erfolg wird entweder true oder false sein, ich würde gerne weiterhin mit der Zahlung, wenn wahr oder beenden und zurückkehren zu dem Formular, wenn false.

jede Hilfe wird sehr geschätzt. Oder hat jemand eine alternative Lösung, um das hinzufügen eines captcha wäre ich bereit zu prüfen.

InformationsquelleAutor Javacadabra | 2014-11-25
  1. 12

    Versuchen, diese auf google-neue recaptcha 2015:

    ==PHP Verification==
if(isset($_POST['submit'])){
    $userIP = $_SERVER["REMOTE_ADDR"];
    $recaptchaResponse = $_POST['g-recaptcha-response'];
    $secretKey = "SECRET_KEY";
    $request = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret={$secretKey}&response={$recaptchaResponse}&remoteip={$userIP}");

    if(!strstr($request, "true")){
        echo "NOPE (Failed Verification)";
    }
    else{
        echo "YUP (Successful Verification)";
    }
}
    • Es ist ziemlich ärgerlich, dass die Antwort kann nicht analysiert werden, wieder in ein PHP-array oder JSON-Objekts leicht.
    • Wenn Sie mit den Komponisten, Saufen ist ein nettes Paket, das zu tun.
    • Google selbst empfiehlt nur die Verwendung von POST-Requests für die Prüfung. Ihre Methode ist anfällig für Anwender, die so etwas wie "token&secret=SecretOfAnotherRecaptchaAccount" g-recaptcha-Antwort, wenn google nicht blockieren mehrere secret-Parametern.. Das heißt, Benutzer können überprüfen, mit jeder gültigen recaptcha-Token, das ist schlecht. Besser verwenden Sie curl und eine post-Anforderung.
    InformationsquelleAutor JcV
  2. 8

    Nicht verwenden, file_get_contents. Google empfiehlt die Verwendung von POST-Requests nennen api. GET-Anfragen wie oben können mehrere Probleme:

    • es könnte blockiert werden, rufen urls auf, die aufgrund der Sicherheit (allow_url_fopen)
    • könnte ein Benutzer pass so etwas wie someToken&secret=otherSitesSecret als input für Ihre $_POST[g-recaptcha-Reaktion]. Wenn Sie einfach string-concat-der aufgerufenen url, übergeben Sie ein Geheimnis von Google. Der Benutzer kann dann überprüfen, sich mit allen recaptcha Antwort, die Sie bekam von jedem Standort aus. Das ist eine Frage der Sicherheit.
    • die Token, die Google zurückgibt, kann ganz schön lange sein. Webserver unterstützt nur ein paar tausend Zeichen in urls. Dies könnte dazu führen, Streicher abgehackt und Sie erhalten eine Fehlermeldung, die für gültige Eingaben.

    Daher so etwas wie das:

    //Get resource
$curl = curl_init();

//Configure options, incl. post-variables to send.
curl_setopt_array($curl, array(
    CURLOPT_RETURNTRANSFER => 1,
    CURLOPT_URL => 'https://www.google.com/recaptcha/api/siteverify',
    CURLOPT_POST => 1,
    CURLOPT_POSTFIELDS => array(
        'secret' => 'your_secret_code_here',
        'response' => $_POST['g-recaptcha-response']
    )
));

//Send request. Due to CURLOPT_RETURNTRANSFER, this will return reply as string.
$resp = curl_exec($curl);

//Free resources.
curl_close($curl);

//Validate response
if(strpos($resp, '"success": true') !== FALSE) {
    echo "Verified.";
} else {
    echo "Not verified.";
}

    Auch die Validierung der Teil ist mehr konservativ in dem, was er akzeptiert als 'validiert'.

    • als pro diesen thread Sie werden hinzufügen möchten CURLOPT_SSL_VERIFYPEER => 0im array, wenn Sie nicht SSL-Zertifikat für den Anruf (was ich denke ist nicht die sicherste Art und Weise der Umsetzung ein Sicherheits-feature !)
    • Warum würden Sie wollen, dies zu tun? Google verwendet immer gültige Zertifikate für Ihre recaptcha-api. Etwas ist falsch auf Ihrem system, wenn es nicht überprüft. Ich kommentierte auch auf die Antwort, die Sie verknüpft, dass es wirklich keine Notwendigkeit, dies zu tun.
    • Gerade für die Entwicklung Zweck
    • (wenn Sie keine ssl-cert-set
    InformationsquelleAutor Manuel Arwed Schmidt
Schreibe einen Kommentar