Hallo,

wenn Captchas erstellt werden, werden ja Daten entweder auf Festplatte oder in eine Datenbank geschrieben. Bei mir ist es so, dass das PHP-Skript mit dem Formular in die DB einen MD5-Hash schreibt und das Bild-Skript, welches in das Formular eingebunden wird, speichert den Schlüssel zum Hash.

Jetzt könnte aber jemand kommen und könnte den ganzen Tag die Seite mit dem Formular aufrufen und somit würde den ganzen Tag neue datensätze in der Datenbank gespeichert und diese somit überflüssig belastet werden.

Wie kann ich das verhindern? Soll ich pro IP_Adresse nur einen Hash zulassen?

Würd ich nicht machen. Natürlich kannst du eine bestimmte Flood-Sperre einbauen, also pro IP nur 10 Cpatchas in 10 Minuten oder so.

Aber mehr is da wirklich nicht nötig.

Naja, das ist ok.

Ich will halt verhindern, dass jmd ein Programm erstellt, welches den ganzen Tag http://www.domain.de/form.php aufruft und meine DB total zugemüllt ist...

Kennst du noch eine andere Lösung?

Kannst du die Datensätze nicht irgendwann ablaufen lassen?

Richte es doch so ein das ein Captcha nur eine gewisse Zeit gültig ist.

[edit]
Ich sollte mal schneller schreiben.
[/edit]

Bei jedem reload der Seite (durch Falscheingabe des Captchas oder sonstige Fehler), wird ein neues Captcha mit einem neuen Hash erstellt. Anders würden die Werte ja nie mehr zusammen passen (Hash und Key)

Ja, aber du könntest ja nach einiger Zeit alte Einträge aus der DB löschen.
Nach einer Stunde muss das Captcha nicht mehr gültig sein.

Das ist richtig. Ich könnte einen Cronjob erstellen, der die captchas aus der DB löscht.

NUR: Das verhindert ja nicht, dass jmd, ein solches Programm schreibt, wie ich es oben erklärt habe.

Wie siehts mit der $_SERVER['HTTP_REFERER']-Variablen aus. Das könnte zumindest ein kleiner Schutz gegen diese Skript-Kiddies sein, oder?

Da brauchst du keinen Cronjob, das wäre ja sehr overkilled. Beim Hinzufügen der Einträge kannst du ja die, die älter als 1 Stunde sind (Timestamp mitspeichern, dann ist der Vergleich sehr einfach) aus der Datenbank entfernen. Die Datenbank müsste solche Dinge locker verkraften, denn wenn du ein Flood-Limit einbaust, musst du bei jedem Seitenaufruf überprüfen, ob sich die IP bereits in der Datenbank befindet, was je nach Index-Einstellung, sogar langsamer sein kann. Ich habe meine Indizes größtenteils auf Schreibzugriffe optimiert, daher sind Abfragen minimal langsamer.

Nagut,

ich kann das ja erstmal so lassen. Wenn wirklich in der Richtung was passiert, kann ich ja immernoch reagieren (zB. mit dem Http-Referer etc...)

Dann danke ich euch soweit!