Der erste Gedanke war, dass mein CMS (SquareOne) evtl. Sicherheitslücken enthält, durch die es Angreifern gelang, Dateien auf meinem Webspace zu ändern (habe den Download Link daher sofort entfernt).

Als zweites kam mir in den Sinn, dass das Passwort für den FTP-Server zu schwach gewesen sein könnte (ist mittlerweile geändert, also versucht es erst gar nicht ;-)). Somit wäre es vielleicht möglich gewesen, durch Bruteforce meinen Webspace zu hacken.

Charakteristisch für die geänderten Stellen im Code waren HTML Kommentare mit dem Inhalt „text block fishka“, jeweils vor- und nach den eingefügten Code Teilen. Nach einer kurzen Google Suche nach diesem Stichwort bin ich auf zwei interessante Seiten gekommen:

• http://www.befuddled.me.uk/2008/11/site-hacked-daily/
• http://www.cubecartforums.org/index.php?showtopic=6988&pid=33239&st=0

Nach den Kommentaren auf den beiden Seiten soll Servage.net für das Debakel verantwortlich sein. Es sind nämlich nur (oder hauptsächlich) Servage Kunden von diesem Problem betroffen. Es wird vermutet, dass sich jemand Root Zugang zu den Servage Servern verschafft hat und jetzt per Script die index.html/.php Dateien abändert.

Das ganze lässt mich natürlich sehr an der Sicherheit von Servage zweifeln und stärkt nicht gerade mein Vertrauen zu den Provider. Zumal ich gerade festgestellt habe, dass sich am 11.01.2009 jemand mit der IP-Adresse 93.120.141.84 (laut Whois aus Russland) mit meinen Zugangsdaten im Servage Web-ACP angemeldet hat.

Ich werde jetzt jedenfalls sofort den Support von Servage kontaktieren. Mal sehen was sie dazu zu sagen haben.

Antwort vom Support:

vielen Dank für Ihr Ticket. Ich möchte mich vielmals für die Unannehmlichkeiten entschuldigen. Seit etwa einem halben Monat setzen wir auf Ihrem Server unser neues, selbst-entwickeltes Betriebsystem ein. Mit der Einführung des neuen Systemes, sollten die größten Sicherheitsprobleme beseitigt worden sein.

In Ihrem Fall ist es sehr wahrscheinlich, dass die Hacker ein unsicheres Skript genutzt haben, um eigenen Code in Ihren Code einzufügen.
Der einzige Weg solche Angriffe zu verhindern, ist die Sicherheit Ihrer Skripte zu überprüfen. Ganz besonders in Passagen, bei denen Formulardateien übermittelt werden.

Bitte stellen Sie auch sicher, dass richtige CHMOD Settings gesetzt wurden. Die Einstellung 777 sollte nur verwendet werden, wenn es absolut notwendig ist.

"...sollten die größten Sicherheitsprobleme beseitigt worden sein" - klingt für mich nicht gerade überzeugend. In diesem Fall werde ich wohl abwarten und sehen, ob das Problem wieder auftaucht.

In Zukunft sind folgende Features geplant:

• Benutzerdefinierte Reihenfolge der Programme/Ordner (jetzt: alphabetisch)
• Verschachtelte Unterordner (niedrige Priorität)
• Dynamische Breite einstellbar
• Ordner mit benutzerdefiniertem Icon sollen mit Icon angezeigt werden

Bekannte Bugs:

• Bei Verknüpfungen mit einem Icon, das nicht Icon Index 0 hat, wird das erste Icon angezeigt (Sollte jemand eine Lösung dafür haben, kann er sich gerne melden).

Es können gerne Code Teile geändert und verbessert werden, solange die Copyright Hinweise erhalten bleiben. Danke!
Also, viel Spaß mit dem Gadget. Ich hoffe der ein oder andere kann es gebrauchen.

Bei der Entwicklung standen 4 Punkte im Vordergrund. Es sollte...

• sicher
• erweiterbar
• einfach
• schnell

...sein. Durch diese Zielsetzung entstand auch der Name "SquareOne": vier Grundvorstellungen in einem CMS.

Ich hoffe, dass ich mit diesem Schritt einigen CMS-Entwicklern etwas helfen kann.Viel Spaß beim testen!

Ihr solltet unbedingt updaten, ansonsten wäre es über absolute Pfade möglich, Bilder auf dem gesamten System darzustellen.

Zudem habe ich noch eine kleine Änderung am Seitentitel vorgenommen (wird jetzt immer der aktuelle Ordnername angezeigt).

Download Demo

Da ich nach stundenlangem Suchen auf keine Lösung gekommen bin und ich sogar mit dem Gedanken, das System neu aufzusetzen, gespielt habe möchte ich hier festhalten was das Problem ist.

Situation

Netzwerkkarte ausgetauscht, Debian gestartet und direkt ein ping versucht. Keine Antwort.

Windows gestartet (2. Betriebssystem) und festgestellt, dass dort das Netzwerk problemlos funktioniert. Was nun?

Problemlösung

Bekanntlich werden ja die Netzwerkkarten unter Linux als eth0, eth1, etc. benannt. Wenn jetzt eine Netzwerkkarte ausgetauscht wird sollte (nach meiner Logik) die Karte eth0 bleiben, wenn sie die einzige ist. Das ist aber nicht so.

Sobald eine neue Netzwerkkarte eingebaut ist wird die Karte automatisch als eth1 (oder eth2, usw.) erkannt. Festgestellt werden kann das über den Befehl ifconfig (=Interface config; entspricht ipconfig unter Windows). Wenn bekannt ist wie die Karte heißt muss nur noch in der Datei /etc/network/interfaces festgelegt werden, dass sie auch die primäre Karte ist. einfach überall eth0 in z.B. eth1 ändern.

Dann noch neustarten (den PC oder nur den networking Deamon) und alles sollte wieder funktionieren.

Die Funktion

<?php
/**
 * Render template files
 *
 * @param string $template
 *  Name of the template file
 * @param array $variables
 *  Array of alle variables to set availalbe in the template.
 *  Key = name; Value = content
 * @copyright
 *  Michael Bertsch (www.michaelbertsch.eu)
 */
function render($template, $variables = array()) {
    if(file_exists('templates/'. $template .'.tpl.php')) {
        // Set variables available
        if(count($variables)) {
            extract($variables, EXTR_SKIP);
        }
        // Start output buffering
        ob_start();
        include 'templates/'. $template .'.tpl.php';
        $contents = ob_get_contents();
        ob_end_clean();
        return $contents;
    }
}
?>

Die Funktion setzt einen Ordner "templates" voraus, in dem alle Template-Dateien mit der Endung ".tpl.php" abgelegt sind. Also z.B. templates/blog.tpl.php.
Wenn das Template nun existiert werden die Variablen "entpackt", das Template geladen und per output buffering als string zurück gegeben.

Ein Beispiel

Vorab: <?= $var ?> ist nur ein anderer/kürzerer Syntax für <? echo $var ?>.

Das Template sieht folgendermaßen aus:
<h3><?= $title ?></h3>
<div><?= $content ?></div>

Und gerendert wird das dann so:
<?php
$content = render('test', array(
        'title' => 'hello world!',
        'content' => 'Lorem ipsum dolor sit amet...')
    );
?>

Mit statischem Text macht das ganze natürlich nur wenig Sinn.

Beispiel zum Download

Ich habe aus dem ganzen Code ein Beispielskript gebaut, welches die Anwendung (auch zusammen mit MySQL) klar machen soll:

Download

f(x)=0 Lösung

Eine PHP Lösung des mathematischen Problems f(x)=0 durch ein Intervallhalbierungsverfahren (Bisektion). Es wird also durch Probieren gerechnet bis das Ergebnis der gegebenen Funktion 0 ergibt.
Mehr

Ziegenproblem Simulation

Das Ziegenproblem oder Monty-Hall-Problem ist ein eher komplexes mathematisches Problem der bedingten Wahrscheinlichkeiten. Es lohnt sich also vor dem Probieren des Scripts, den Artikel bei Wikipedia dazu genau durchzulesen.

Wie sinnvoll eine Umsetzung davon in PHP ist, sei dahingestellt. Dabei stand eher der Spaß und Lerneffekt im Vordergrund ;)
Mehr

Viel Spaß mit den beiden Snippets, vielleicht kann es ja jemand gebrauchen.

Screenshots

Eigentlich ist mir das Design beim CMS anfangs eher Nebensache. Trotzdem die Screenshots, weil ich finde dass es ganz gut geworden ist. Viel wichtiger ist mir allerdings eine solide Code-Basis auf der später gut gearbeitet werden kann. Diese Basis ist nun zu etwa 70% Fertig und wie ich finde gut geworden.

Braucht die Welt noch ein CMS?

Jedenfalls gibt es kein CMS das meinen Geschmack trifft. Am ehesten das neue Habari, aber das befindet sich noch in der Alpha Phase und auch der Code gefällt mir nicht gerade immer gut.

Und jetzt?

Schaut euch mal die Screenshots an und sagt mir was ihr denkt. Eine Antwort auf die Frage "Braucht die Welt noch ein CMS?" wäre auch erwünscht.

Problem von "global"

<?php
$test_var = 'Hello World';
function test_function() {
        global $test_var;
        echo $test_var;
}
test_function();
?>
So einfach würde es gehen, Variablen vom lokalen Geltungsbereich auch in einer Funktion/Methode verfügbar zu machen. Warum man es dennoch nicht nutzen sollte:

1. Wiederverwendung von Code-Teilen wird erschwert wegen möglicherweise anderen Variablennamen.
2. Das finden von Fehlern wird erschwert, weil eine globale Variable überall definiert werden könnte.
3. Die Übersichtlichkeit leidet darunter, wenn sehr viele globale Variablen verwendet werden und somit wird es wahrscheinlich schwerer den Code später zu verstehen.

Abhilfe mit Singletons und Registry Pattern

<?php
class registry {
    private $objects = array();
    public function &load() {
        static $me;
        if(!is_object($me)) {
            $me = new registry();
        }
        return $me;
    }
    public function set($name, &$object) {
        $this->objects[$name] =& $object;
    }
    public function &get($name) {
        return $this->objects[$name];
    }
}
function instance_require($class) {
    $registry =& registry::load();
    $args = func_get_args();
    if(count($args) > 1) {
        $ref = array();
        foreach($args as $arg) {
            $ref[] =& $registry->get($arg);
        }
    } else {
        $ref =& $registry->get($args[0]);
    }
    return $ref;
}
?>

Die Grundidee hinter diesem Code besteht darin, alle Instanzen der Objekte zu registrieren und dann später über die Funktion instance_require in den Methoden verfügbar zu machen. Singleton wird die load-Methode der registry-Klasse genannt. Singleton, weil dieses Modell nur eine Instanz der registry-Klasse zulässt.

Verwendung

Als erstes muss die registry geladen werden um benötigte Instanzen zur registry hinzuzufügen:

<?php
// Instance registry
$registry =& registry::load();
// Register instances
$db = new database();
$registry->set('db', $db);
$var = new variable();
$registry->set('var', $var);
?>

Später können die registrierten Instanzen dann bequem über die Funktion instance_require geladen, bzw. referenziert werden:

<?php
class test {
    public function test_RequireOneInstance() {
        $database = instance_require('db')
        // Work with database
    }
    public function test_RequireMoreInstances() {
        list($var, $MyDBName) = instance_require('var', 'db');
        // Work with both instances using only one line of code.
        // Isn't that nice? :o)
    }
}
?>

Quelle und mehr zum Thema gibt es auf www.phpit.net.

Hardware

• Gehäuse: Möglichst klein, aber Vorsicht: kleine PC-Gehäuse und spezielle HTPC-Gehäuse haben oft nur Platz für MicroATX und nicht für normale ATX Mainboards.
• Mainboard: ...vom alten PC nehmen.
• CPU: Möglichst kühl und nicht übertaktet.
• CPU-Lüfter: Wenn nötig mit reduzierten Spannungen (mit Lüfteradapter von 12V auf z.B. 7V), um die Lautstärke zu reduzieren.
• Grafikkarte: Möglichst Passiv gekühlt. Alle nötigen Anschlüsse sollten vorhanden sein: S-Video, VGA, DVI und wer Zukunftssicher sein will HDMI.
• RAM: Weniger entscheidend beim HTPC. 256MB sollten für die meißten Anwendungen gut ausreichen.
• Netzteil: Wieder möglichst leise. Wer es ganz Leise haben möchte, sollte überlegen ein Lüfterloses Netzteil zu kaufen.
• Festplatte(n): 5400UPM Festplatten sollen noch leiser sein, aber sind durch die geringe Umdrehungszahl natürlich auch langsamer. Ich empfehle ansonsten eigentlich immer Samsung Festplatten.
• opt. Laufwerk: Normales DVD-Laufwerk oder Brenner. Ich bin mit NEC sehr zufrieden.
• TV-Karte: Möglichst digital (DVB-S, DVB-C oder DVB-T)
• Eingabegeräte: kabellose Tastatur und Maus oder nur eine Fernbedienung.

Software

Ich selber verwende die Windows XP Media Center Edition. Für Windows ist das open source Programm MediaPortal auch zu empfehlen. Die einzige Software für Linux, die ich gefunden habe nennt sich Video Disk Recorder.

Weiterführende Links

• HTPC-Board Wiki
• htpc.de
• tv-out.de - Wie kommt das PC-Bild auf den Fernseher?

SQL Injection ist ein alt bekanntes Sicherheitsproblem, welches - wie so oft - bei ungefilterten Benutzereingaben liegt. Darum sollten Eingaben vom Client immer überprüft (validiert) werden.

Beispiel

Ein sehr arges Beispiel das ich erst vor kurzem gesehen habe:
http://example.com/seite.php?table=benutzer&field=passfoto&where=kuerzel='AB'

Das ist jetzt kein Scherz. Nicht dass ihr denkt ich erfinde da etwas... muss ich garnicht!
Die GET Parameter werden so direkt in die SQL Query eingefügt:

SELECT passfoto FROM benutzer WHERE kuerzel='AB'

Jetzt könnte man natürlich die Parameter ändern und eine beliebige Query ausführen und somit an Passwörter oder andere Daten kommen.

Sichere Queries

Das open source CMS Drupal hat da eine einfache aber sehr schöne Lösung eingebaut. Die Query wird dabei mit sprintf formatiert, wobei z.B. %d für Zahlen stehen und NUR Zahlen in diesem Argument erlaubt sind. Also ist weiteres validieren unnötig. Ich habe diese Funktion abgeändert und vereinfacht, sodass diese mit jedem Script verwendet werden kann:

<?php
function db_query($query) {
    $args = func_get_args();
    if(count($args) > 1) {
        unset($args[0]); // Query should not be escaped.
        $args = array_map('mysql_real_escape_string', $args);
        array_unshift($args, $query); // Add query again for sprintf.
        $query = call_user_func_array('sprintf', $args);
    }
    $result = mysql_query($query);
    return $result;
}
// Example
db_query('SELECT * FROM table WHERE typ=%d AND name="%s"', $_GET['typ'], $_GET['name']);
?>

Magic Quotes abschalten

Diese sehr umstrittene PHP Einstellung stellt (wenn sie aktiviert ist) allen Metazeichen (vorallem einfache Anführungszeichen) von der Clientseite (POST, GET, Cookie,...) automatisch einen Backslash bevor. Dadurch kann kein oder nur erschwert Code in Queries gebracht werden.

Diese Einstellung muss also deaktiviert werden, wenn man Benutzereingaben selber überprüft (also auch bei Verwendung der db_query funktion). Am besten in der php.ini "magic_quotes_runtime" auf 0 setzen, oder per Script deaktivieren falls man keinen Zugang zur php.ini hat:

<?php
ini_set('magic_quotes_runtime', 0); // Try to turn magic_quotes off
// Stripslashes in deep if needed.
if(get_magic_quotes_gpc()) {
    $_GET = stripslashes_r($_GET);
    $_POST = stripslashes_r($_POST);
    $_COOKIE = stripslashes_r($_COOKIE);
}
function stripslashes_r($value) {
    if(is_array($value)) {
        $value = array_map('stripslashes_r', $value);
    }
    else {
        $value = stripslashes($value);
    }
   return $value;
}
?>

Wer diese Funktionen benutzt ist auf der sicheren Seite und viel mehr Arbeit ist es garnicht, da diese Code Teile in jedem Script gleich verwendet werden können.

Geht es nur mir so, oder müsst ihr auch immer auf Seiten wie CSS4You nachsehen, in welcher Reihenfolge die Eigenschaften gehören?

Beispiel

margin: 5px 10px 0px 5px;
Was ist denn nun oben, unten, links und rechts?

Lösung

Von oben angefangen gehen die Angaben im Uhrzeigersinn um die Box:

So ist es endlich einfach zu merken und ich muss nicht immer nachsehen.

Features

• Hash
  • MD5
  • SHA1
  • CRC32
• HTML
  • URL Encode
  • URL Decode
  • HTML Entities Encode
  • HTML Entities Decode
  • Base 64 Encode
  • Base 64 Decode
• Bin/Hex/ASC
  • Binary to Hex
  • Hex to Binary
  • Ascii to Binary
  • Binary to Ascii
  • Hex to Ascii
  • Ascii to Hex
• Misc
  • ASCII Code
  • Reverse (Backwards)
  • Shuffle
  • Length
  • Timestamp
  • Quote (RegEx)
  • Strip HTML Tags

Zu finden ist das Script auf der Projekt Seite.

• Demo
• Download

Änderungen in v1.1

• Bugfix: Sortierung der Dateien und Ordner. Vorher war die Reihenfolge beliebig, jetzt Alphabetisch.
• Einfach erweiterbarer Info Bereich.
• Status Speicherung: Es wird nun per Cookie gespeichert welche Tabs im Info Bereich offen sind.
• Accesskeys "p" (previous) und "n" (next) zur Navigation.
• Style: Im Internet Explorer war der "Next" Link um 1px verschobe, was etwas unschön aussah.
• Viele weitere, kleine Änderungen.

TinyGallery einfach erweitern

Mit dem Versionsupdate lässt sich TinyGallery nun sehr einfach erweitern. So könnte z.B. eine Beschreibung zu jedem Bild aus einer Datenbank ausgegeben werden. Ein Beispiel wie das funktionieren würde. Als erstes benötigen wir eine Funktion, die eine Verbindung zur Datenbank aufbaut (z.B. MySQL) und die Beschreibung zum Bild zurückgiebt.

<?php
function info_description() {
    global $dir, $files, $img_key;
    // Connect and select DB
    mysql_connect('mysql_host', 'mysql_user', 'mysql_password') or die(mysql_error());
    mysql_select_db('test') or die(mysql_error());
    // Get image description
    $query = mysql_query('SELECT name,dir,description FROM `tinygallery_desc` WHERE `dir`="'. mysql_real_escape_string($dir).'" AND `name`="'. mysql_real_escape_string($files[$img_key]) .'"');
    $info = mysql_fetch_row($query);
    // Return description (if available)
    if(isset($info[2])) {
        return $info[2];
    } else {
        return 'No description available';
    }
}
?>

Hier noch die Datenbank Struktur, die bei diesem Beispiel verwendet worden ist:
CREATE TABLE `tinygallery_desc` ( `name` varchar(255) NOT NULL, `dir` varchar(255) NOT NULL, `description` text NOT NULL, PRIMARY KEY (`name`,`dir`) ) TYPE=MyISAM;

Sinnvollerweise sollte die Funktion bei den Info Funktionen nach der Funktion "info_browse" platziert werden. So, der großteil ist schon geschafft. Jetzt muss nur noch das conf_info Array (oben bei der Konfiguration) erweitert werden:

<?php
$conf_info = array( // Which infos should be loaded?
    'common' => 'Image Info',
    'browse' => 'Browse Subfolders',
    'description' => 'Description'
);
?>

Array Schlüssel ist der Funktionsname ohne Präfix "info_" und der Wert ist der Name unter dem es im Info Bereich angezeigt werden soll. Wenn eine Standard Info nicht gebraucht wird, einfach die Zeile löschen oder auskommentieren (Vorsicht aber mit den Kommas!).

Copyright

Ich finde es ja nicht so toll wenn meine Scripte ohne Copyright Hinweis verwendet werden, wie z.B. hier. Ein HTML Kommentar stört doch niemand, oder?

So jetzt aber viel Spaß mit der neuen Version ;)

Ich werde jetzt zwar nicht auf alle Einzelheiten dieses Templates eingehen, da es größtenteils selbsterklärend sein müsste. Zwei kleine Feinheiten hat es aber:

Clearfix Hack

Der Clearfix Hack von Positioniseverything wurde eingebaut. Dieser ermöglicht es floats ohne zusätzliches Markup zu "clearen". Einfach mit dem zuweisen der Klasse "clearfix". Ein kleiner Tipp noch dazu: Es können einem Element mehrere CSS Klassen zugewiesen werden (einfach mit einem Leerzeichen trennen).

Druck-Stylesheet

Da HTML Attribute wie href oder title auf Papier nicht erkennbar sind, wird mit diesem separatem print Stylesheet eine Link Adresse in spitzen Klammern nach dem Link Text geschrieben und Titel Attribute nach dem Element in runden Klammern. Auch das cite Attribut für Quellenangaben wird für den Druck nach dem Element dargestellt.

Download

Insgesammt wurden 200 Änderungen im Bereich CSS vorgenommen. Die wichtigsten davon (wie ich finde) hier kurz zusammengefasst:

Wichtigste Änderungen

• Alle Bugs auf positioniseverything.net außer dem "escaping floats" Bug.
• Pseudo-Klasse :hover wird nun auf allen Elementen unterstützt, nicht nur auf <a>
• Min/max width/height support
• Alpha Kanal PNG support

Original Post im IEBlog

Da der Browser als "hochkritischen" Sicherheits-Update ausgeliefert werden soll, bin ich gespannt wieviel Prozent nach der veröffentlichung der finalen Version noch den alten IE6 benutzen. Aber wahrscheinlich zuviel, um auf IE6 support zu verzichten.

Problem ist, dass beim Trackback kein Formular abgesendet wird. Darum kann ich meine normale Antispam Funktion oder captchas hier nicht verwenden.

Möglichkeiten

1. Bei jedem eingehenden Trackback, wird die Webseite (von welcher der Trackback kommt) per fsockopen ausgelesen und gesucht ob ein Link zu der eigenen Seite vorhanden ist. Wenn das nicht der Fall ist, wird der Trackback direkt gelöscht oder moderiert.
2. Die gute alte Badwords-Liste. Einfach eine Liste mit "bösen"-Wörter anlegen. Wenn nun ein solches Wort im Trackback excerpt vorkommt wird er geblockt.
3. Eine andere Möglichkeit ist (wie bei Kommentarspam) natürlich IP-Adressen oder Bereiche auszusperren.
4. Nach einer weiteren (besseren) Möglichkeit suche ich noch, denn alle haben ihre Nachteile: 1. Sehr Server-lastig bei vielen Spam-Trackbacks. 2. und 3. werden wohl nie alle Spams blocken können.

Bis jetzt habe ich auf dieser Seite nur die erste Möglichkeit eingebaut. Mal sehen wie lange das gut geht. Ansonsten wenn jemand noch eine Idee hat, immer her damit ;)

Links zum Thema

• Trackback Validator Plugin für Wordpress
• Wordpress Anti-Spam Plugins
• LinkSleeve: Spam Link Verification
• Wiki Anti-spam Features
• Akismet

Oft ist es doch so: Man hat ein paar Fotos die man mit seinen Freunden teilen möchte, aber dafür kein unschönes Directory-listing verwenden oder extra eine aufwändige Bildergallerie installieren will. An dem Punkt setzt TinyGallery an. TinyGallery besteht aus nur einer PHP-Datei, ist simpel aufgebaut, aber trotzdem funktional. Einfaches hochladen dieser einen Datei genügt für eine vollwertige Gallery.

Installation

• "index.php" öffnen und Konfigurations-Variablen ändern (optional)
• Einige Bilder und die index.php auf den Webserver laden
• Seite aufrufen und loslegen.

Links

• Demo
• Download

Zu finden ist das ganze auch im Projekte Bereich. Bei Bugs oder anderen Problemen bitte hier einen Kommentar schreiben oder über das Kontaktformular bei mir melden.

Meine kleine PHP Funktion arbeitet mit einem Punkte-System. So kann jeder selber festlegen ab wann der Post als Spam erkannt werden soll.

Überprüft werden folgende Faktoren:

• Ob der Benutzer von einer Seite der gleichen Domain weitergeleitet wurde (Referer).
• Wie lange gebraucht wurde um das Formular auszufüllen.
• Ob die IP Adresse überein stimmt.
• Und ob der im Hintergrund übermittelte Hash stimmt.

Vorbereiten des Formulars

Als erstes muss das Kommentar-Formular mit zwei zusätzlichen Formularfeldern ausgestattet werden. So z.B.:

<?php
$rand_chr = '2/dx§&K40xaw1=4?d';
$query = time() .'_'. base64_encode($_SERVER['REMOTE_ADDR']);
$hash = md5($query . $rand_chr);
echo '<input name="as_query" type="hidden" value="'. $query .'" />';
echo '<input name="as_hash" type="hidden" value="'. $hash .'" />';
?>

Hier wird also die Zeit übermittelt (wann das Formular generiert wurde), die IP-Adresse (base64 enkodiert) und ein Hash davon, damit die Angaben danach auf ihre Richtigkeit überprüft werden können. Dem MD5 Hash wird noch eine Zeichenkette angehängt, sonst wär es wieder einfach für Spam-Bots. Diese Zeichenkette solltet ihr selber zufällig wählen.

Überprüfen der Formular-Daten

Jetzt der wichtigste Teil des Scripts:

<?php
function is_spam($max_points = 5) {
    global $rand_chr; // Requires the random string from before.
    $points = 0;
    if(isset($_POST['as_query'], $_POST['as_hash']) && strpos($_POST['as_query'], '_')) {
        // Process submitted data
        list($timestamp, $ip) = explode('_', $_POST['as_query']);
        // Check for same hash
        if($_POST['as_hash'] != md5($_POST['as_query'] . $rand_chr)) {
            $points += 6;
        }
        // Check for same IP
        if(base64_decode($ip) != $_SERVER['REMOTE_ADDR']) {
            $points += 4;
        }
        // Check on timestamp
        if(time() - $timestamp <= 3) {
            $points += 4;
        }
        elseif(time() - $timestamp <= 6) {
            $points += 3;
        }
        // Check for valid referer
        if(!strpos(strtolower($_SERVER['HTTP_REFERER']), strtolower($_SERVER['HTTP_HOST']))) {
            $points += 3;
        }
        // Is it spam?
        if($points <= $max_points) {
            return FALSE; // No spam
        }
        else {
            return TRUE; // spam :-(
        }
    }
    else {
        // No form data submitted. Handle as spam.
        return TRUE;
    }
}
?>

Mit dieser Funktion werden die Daten überprüft und Punkte vergeben. Ich denke mehr brauche ich dazu nicht sagen/schreiben, da alles auskommentiert ist, aber bei Fragen bitte die Kommentare nutzen.

Danach kann man bequem überprüfen ob der Post als Spam erkannt wurde oder nicht:

<?php
if(is_spam()) {
  die('don't spam my blog');
}
else {
  // sql INSERT or whatever you want :)
}
?>

Das ganze kann man natürlich nicht nur mit Kommentarformularen benutzen sondern eigentlich mit jedem Formular. Unabhängig davon gibt es auch andere Methoden zur Spam-Bekämpfung. So kann man z.B. mit htaccess ganze IP Bereiche aussperren, was allerdings auch manchmal auch echte User aussperrt. Hier noch ein paar interessante Links dazu:

http://blog.patrickkempf.de/archives/2006/06/03/spam-attacke-geht-weiter/
http://unknowngenius.com/blog/wordpress/spam-karma/
http://www.basicthinking.de/blog/2006/05/22/spam-branche-mit-zukunft/

Grundfunktion und zwei Zusatzfunktionen (erweiterbar):
<?php
function validate($fields = array(), $optional_fields = array()) {
    $errors = array();
    // Validate normal, required fields
    foreach($fields as $fieldname => $type) {
        if(call_user_func('validate_' . $type, $_POST[$fieldname]) === FALSE) {
               $errors[] = $fieldname;
        }
    }
    // Process optional fields
    foreach($optional_fields as $fieldname => $type) {
        if(!empty($_POST[$fieldname])) {
            if(call_user_func('validate_' . $type, $_POST[$fieldname]) === FALSE) {
                   $errors[] = $fieldname;
            }
        }
    }
    return $errors;
}
function validate_url($url) {
  if (!preg_match("/^(http|https|ftp)://[a-z0-9/:_-_.?$,~=#&%+]+$/i", $url)) {
    return FALSE;
  }
}
function validate_numeric($num) {
    if(!is_numeric($num)) {
        return FALSE;
    }
}
?>

Das Prinzip ist eigentlich ganz einfach. Die Funktion validate() benötigt mindestens einen Parameter, der ein Array sein muss.

Das sieht dann z.B. Folgendermaßen aus:

<?php
$errors = validate(array(
    'www' => 'url',
    'numbers' => 'numeric'));
?>

Der Schlüssel des Arrays ist immer der Name des Post Feldes, das validiert werden soll, und der Wert, der Name der Funktion, die zur Validierung benutzt werden soll. Also würde in diesem Beispiel $_POST['www'] nach einer gültigen URL überprüft werden und $_POST['numbers'] nach einem nummerischen Wert.

Soweit sogut. Wie sich einige villeicht schon gedacht haben wird ein Array mit allen ungültigen Post Feldern zurückgegeben und in diesem Fall in der Variable $errors gespeichert.

Der 2. Parameter für validate() ist für optionale Felder und funktioniert im Prinzip genau gleich wie der erste. So könnte dann beispielsweise der fertige Code aussehen (die Funktionen müssen natürlich auch eingebunden werden):

<?php
$errors = validate(array(
    'www' => 'url',
    'body' => 'numeric'));
if(count($errors)) {
    echo 'Fehler bei der Eingabe: '. implode(', ', $errors);
}
else {
    echo 'Eingaben OK.';
}
?>

Das feine daran ist, dass dieses Script sehr einfach erweitert werden kann. Hier noch ein paar zusätzliche Validierungs-Funktionen die mit der Grundfunktion verwendet werden können:

<?php
function validate_email($email) {
  if(!preg_match("/^[A-Za-z0-9](([_.-]?[a-zA-Z0-9]+)*)@([A-Za-z0-9]+)(([.-]?[a-zA-Z0-9]+)*).([A-Za-z]{2,})$/", $email)) {
    return FALSE;
  }
}
function validate_plz($plz) {
    if (!$plz > 1000 && !$plz <= 99998) {
        return FALSE;
    }
}
?>