如何从垃圾邮件中保护PHP邮件系统？

Question

我目前正在创建一个PHP消息传递系统，似乎无法想出一种合适的方法来阻止垃圾邮件攻击。将从此表单发送一条消息（简化为包含要点）：

<form action="messages/send" method="POST">
  <input type="text" name="message" />
  <input type="hidden" name="recipient" value="10" />
  <input type="submit" value="Send" />
</form>

上面的隐藏字段存储收件人ID。此数据在此网站上不安全，可供人们查看（例如facebook; profile.php？id = 45345345。）

提交表单后，后端PHP会执行以下检查：

1. 发件人是否已登录？
2. 是否允许发送给收件人？
3. 邮件是否包含任何内容？ （不是空的）

我想到的问题是有人可以轻松创建一个简单的脚本，可以自动增加＆＃34;收件人＆＃34;表单中的值，并基本上发送站点范围的消息。还可以执行哪些其他后端PHP检查或其他类型的检查来防止这种情况发生？

Answer 1

您可以添加一些内容：

• CSRF
• 服务器端和客户端验证
• 验证码 - [http://www.smashingmagazine.com/2011/03/04/in-search-of-the-perfect-captcha/]
• The Roboo script。今年在Blackhat谴责并给你一些DOS保护。
• 添加永远不应该完成的蜜罐隐藏字段。您 可以使用Javascript在合法表单上自动填写此内容 提交并验证服务器端。
• 速度测量，例如提交表单的速度。

看看 - https://security.stackexchange.com/questions/4235/how-should-i-secure-a-contact-form-that-appears-on-every-page-of-a-website