Formulaire vide

Bonsoir,

a écrit :
est-ce qu'il y a un script php pour éviter ça ?

empty() — Détermine si une variable est vide
https://www.php.net/manual/fr/function.empty.php

Merci,
je ne connaissais pas cette fonction, mais en lisant les docs qui vont avec, je vois que mon problème ne sera pas résolu. En effet, empty met une alerte si le formulaire est vide, mais rien n'empêche l'expédiant de le remplir avec n'importe quoi (soit un mail valide mais faux, soit un texte farfelu ou composé d'une suite de lettres aléatoires, comme ceux que je reçois).
J'en demande sûrement trop, je ne crois pas qu'il y ait une solution.
C'est pourtant angoissant de recevoir, comme cette nuit, ça : xqzapq, et c'est tout, sans adresse mail, pourtant en required en html. Une personne qui s'amuse ou qui tente quelque chose ?

@niuxe. Par contre, là, ton script peut être utile, parce que je reçois aussi des réponses sans aucun texte. Je vais voir ça.
Modifié par Bongota (28 May 2024 - 20:03)

@niuxe
je connais "htmlspecialchar" mais
'trim',
'strip_tags',
correspondent à quoi ?

Bonsoir,

La solution à laquelle tout le monde pense, c'est les CAPTCHA. Personnellement je suis contre, pour plusieurs raisons:
1 - C'est toujours source de frustration pour les utilisateurs, et c'est même parfois totalement bloquant car trop compliqué ou pas accessible
2 - Les bots s'améliorent sans cesse et arrivent de mieux en mieux à les passer, ce qui fait que ce n'est plus une solution aussi fiable qu'auparavant
3 - En conséquence du point 2, on te demande de faire des trucs de plus en plus frustrant/compliqués/inaccessibles
4 - En utilisant les systèmes proposés par les GAFAM, on contribue gratuitement à leur entraînement/renforcement

En réalité, on fait complètement fausse route avec les CAPTCHA. Il faut les bannir, bientôt ils seront complètement inutiles.

La première chose à vérifier, selon moi, c'est la provenance de l'envoi, i.e. l'adresse IP de l'expéditeur.
Avec les registres PBL, SBL, XBL, etc. on peut savoir si une IP provient probablement de chez un spameur, mais pas seulement. On a une assez bonne probabilité de faire la différence entre l'IP d'un particulier et celle d'un serveur.
Ca fait déjà un tri non négligeable de jeter directement tout ce qui vient d'un spameur ou visiblement pas de chez un particulier.

Toujours concernant l'adresse IP, jeter au-delà du nième message provenant de la même IP en moins d'un certain laps de temps. Par exemple, pas plus de 5 messages par heure par IP.
Même si les bots ajoutent de plus en plus souvent des patterns aléatoires espacés dans le temps pour ne pas se faire attraper, ça permet quand même d'éliminer un nombre pas si négligeable que ça de bots relativement stupides

La deuxième chose, c'est évidemment de vérifier l'adresse e-mail indiquée.
ON peut facilement vérifier si le domaine existe et s'il a bien un enregistrement MX. Comme ça adieu les aaaa@aaaa.aaa. Ca fait de nouveau un beau paquet de spam en moins.
C'est par contre impossible de savoir si aaaa@gmail.com existe sans réellement essayer d'envoyer un e-mail. Mais attention, il y a des domaines piège qui enregistrent instantanément ton adresse IP comme spameur si tu essayes de leur envoyer ne serait-ce qu'un seul e-mail, donc méfiance !

IL y a des services qui te proposent de vérifier la fiabilité d'une adresse e-mail, et en particulier si ce n'est pas un e-mail jetable ou domaine piège. Tu lui donne une adresse, il te donne un score. Le gros problème, c'est que ces services sont très cher (rapidement plusieurs centaines d'euros par mois selon le volume à valider).

Pour le contenu textuel des messages, il y a quelques classiques:
1 - La liste de mots-clés. ON jette le post au-delà de la troisième occurrence trouvée.
2 - Le nombre d'URL, ou alors, plus subtil, un rapport entre le nombre d'URL et le nombre de mots. Par exemple, on jette le post s'il y a plus de 5 URL, ou alors si plus de 20% du texte sont des URL. Mention spéciale au message qui commence par un URL et qui compte triple...
3 - Détecter ce qui a l'air d'être du code HTML, JavaScript, etc. et là pareil, si tu ne t'attends pas à en avoir, tu vires

A ce stade on a probablement viré 95% des bots inutiles, en tout cas ça a été le cas pour moi.
LE tout, sans CAPTCHA, sans truc à la con, c'est totalement transparent pour l'utilisateur normal.

Mais si ça continue, pour les messages aléatoires, il n'y a hélas pas 36 solutions, il faut faire de la statistique sur les mots.
- ON pourrait se fonder sur un dictionnaire et jeter un message qui a plus de x% de mots inconnus (il faut quand même être tolérant avec les fautes d'orthographe et du coup c'est difficile à ajuster).
- ON pourrait analyser les digrammes ou les trigrammes, et là aussi, éliminer les messages qui dépassent un seuil de combinaisons improbables... mais c'est pareil, pas évident le fine tuning.

Pour ma part, pour l'instant, je n'ai pas mis en place ce dernier volet. Je reçois quand même nettement moins de spam qu'avant toutes ces mesures.

Super, quel long document.
Je vais me coucher et je verrai ça demain.
Je sais déjà que pour le CAPTCHA, c'est non, j'ai déjà lu des docs et envisagé ceci. Mais j'ai abandonné. Je suis moi-même énervé par ces CAPTCHA.
Merci.

tout à l'heure, je n'étais pas dans mon env de dev

Regarde ça :

<?php
    if(!empty($_POST)){
        $clean_methods = [
            'trim',
            'strip_tags',
            'htmlspecialchars',
        ];
        foreach($clean_methods as $method){
            $_POST = array_map($method, $_POST);
        }

        if(!filter_var($_POST['mailpost'], FILTER_VALIDATE_EMAIL)){
            $_POST['error']['mailpost'] = "l'email saisie n'est pas valide";
        }
        if(empty($_POST['message'])){
            $_POST['error']['message'] = "le champ ne peut être vide";
        }

        if(!isset($_POST['error'])){
            echo "envoyer mail";
            exit();
        }
    }
?>
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title></title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/foundation-sites@6.8.1/dist/css/foundation-float.min.css" crossorigin="anonymous">
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/foundation-sites@6.8.1/dist/css/foundation-prototype.min.css" crossorigin="anonymous">
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/foundation-sites@6.8.1/dist/css/foundation-rtl.min.css" crossorigin="anonymous">
    <style>
.grid-container{
    max-width: 600px;
}
input, textarea{
    margin-bottom: 0 !important;
}
.error{
    color: #f00;
}
    </style>
</head>
<body>
    <div class="grid-container margin-vertical-3">
        <form action="<?= htmlspecialchars($_SERVER['PHP_SELF']) ?>" method="post">
            <p>
                <label>
                    <span>email</span>
                    <input type="text" name="mailpost" value="<?= !empty($_POST['mailpost'])? $_POST['mailpost'] : ''?>">
                </label>
                <?php if(!empty($_POST['error']['mailpost'])): ?>
                <span class="error"><?= $_POST['error']['mailpost']?></span>
                <?php endif ?>
            </p>
            <p>
                <label>
                    <span>message</span>
                    <textarea name="message"><?= !empty($_POST['message'])? $_POST['message'] : ''?></textarea>
                </label>
                <?php if(isset($_POST['error']['message'])): ?>
                <span class="error"><?= $_POST['error']['message']?></span>
                <?php endif ?>
            </p>
            <p><button type="submit" class="button">envoyer</button></p>
        </form>
    </div>
</body>
</html>

Pour répondre à tes 2 questions, lis la doc php à ces sujets
Modifié par niuxe (28 May 2024 - 22:42)

Merci pour tous vos conseils.
Il faut maintenant que je digère ce qui est là