这对"垃圾邮件"和"自动化机器人"是否安全？

Question

我有一个分类广告网站,我刚问了一个问题,无论何时用户发布新的分类等,我是否需要使用验证码.

我网站上的某些地方(如联系表格)确实需要某种身份验证(验证码等).

但我不知道在发布新分类时我是否需要一个,所以我转向你们做出决定.

这是今天的程序:

• 用户点击"新分类".
  
• 用户填写一个包含大量输入/选择等的表格.选择是javascript填充btw,如果这有任何区别.
  

• 然后用户单击"预览分类"按钮.

• 接下来是"预览"页面,用户可以在其中查看其分类的外观.
  

• 这里,第一页的所有表单信息都存储在SESSION变量中.
  
• 如果用户满意,则必须选择密码.这是通过在底部的"预览"页面中填写另一个小表单来完成的,其中有两个输入,"密码"和"验证密码".此密码稍后将用于删除分类,编辑等.

• 当输入密码并使用Javascript验证密码(非空,没有特殊字符等)时,用户可以按"插入分类"按钮.

• "预览"页面将提交到"insert_ad_into_database.php"页面.

• 记住将所有信息设置为SESSION变量,这个页面使用这些变量将它们插入到数据库中(MySql和Solr索引).
• 如果已插入分类,则回显"成功"文本,否则回显"错误".

你认为我需要验证码,因为它实际上是需要填写的两种形式吗？(分类表格和密码表格)

谢谢

Answer 1

我已经在你的另一个问题中给出了我的完整答案(让"最小障碍"的原则指导你),但我会在这里给出一个概述:

• 不,这对垃圾邮件机器人来说是不安全的(但它需要一个相当复杂的垃圾邮件机器人来解决这个问题 - 标准问题"将某些内容发布到表单上"spambot将在这里分解).
• 但是,在您看到垃圾邮件的实际问题之前,您也不应该包含验证码.

垃圾邮件机器人(特别是复杂机器人)的方式并不像您想象的那么常见,而验证码会比您想象的更多地损害新的用户获取方式.权衡很容易在没有验证码的方向上.