[Tutorial] Schutz vor Spam-Bots mit CAPTCHA

[Tom01]

ok, ich versuchs. hab ich wohl wieder zu kompliziert gedacht.

danke erstmal

[tusnelda]

Hallo zusammen,
nachdem ich jetzt schon viele Stunden nach meinem Fehler suche, frag ich nun doch mal Euch, Ihr könnt mir sicher weiterhelfen.

Ich habe eine index.php die includet die kontakt.php und dann noch die captcha.php - klappt alles wunderbar außer, dass mir der Wert von $_SESSION['captcha_code'] fehlt, so dass ich nicht auf Richtigkeit abprüfen kann. Woran kann das liegen?

Ich müsste doch zumindest beim ersten aufruf vom kontakt.php den code ausgegeben bekommen:
$code = $_SESSION['captcha_code']; - das bleibt leer.

Ich habe schon ein bisschen mit session_start rumprobiert. Keine Fehler kommen, wenn ich sie einmal in der captcha.php starte und einmal in der index.php.

Es wäre toll, wenn mir jemand helfen könnte!
Danke!!
Tusnelda

[phpBuddy]

Hallo Tusnelda,

der Wert des CAPTCHA steht immer "versetzt" in der Session.
Ansonsten hilft es mal Code zu posten, damit man sieht was gemacht wurde.

[tusnelda]

Das nen ich mal ne schnelle Antwort! Supernett!

Was heißt versetzt angezeigt?

Der Code ist im Moment nicht wirklich vorzeigbar :O

Ich räum ihn erst mal auf :-)

Sollte ich wohl auf das gelbe "Anworten" oder so wie jetzt auf Direkt antworten?!
danke!

[phpBuddy]

Versetzt bedeutet, dass wenn Du oben im Script den CAPTCHA Code abfragen möchtest, der Code noch nicht in der Session steht, sondern erst später, wenn die Grafik vom CAPTCHA Script generiert wurde.

Und ob Du die Schnellantwort benutzt oder den Antworten-Knopf ist egal. Bei letzterem hast Du nur mehr Gestaltungsmöglichkeiten im Eingabefeld.

[tusnelda]

also, die captcha.php:

PHP-Code:

<?php
// Session starten
session_start();
// Alten CAPTCHA-Code aus der Session loeschen
unset( $_SESSION['captcha_code']);
// Das Cachen der Grafik verhindern
header( "Expires: Mon, 26 Jul 1997 05:00:00 GMT" );
header( "Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT" );
header( "Cache-Control: no-store, no-cache, must-revalidate" );
header( "Cache-Control: post-check=0, pre-check=0", false );
header( "Pragma: no-cache" );

// Dem Browser mitteilen das es sich hierbei um ein JPG handelt.
header( 'Content-type: image/jpeg' );

// Sicherheitscode generieren
$AlphaNumerischerString = "ABCDEFGH2345689";
$ZufallString1 = substr( str_shuffle( $AlphaNumerischerString ), 0, 2 );
$ZufallString2 = substr( str_shuffle( $AlphaNumerischerString ), 0, 2 );
$ZufallString3 = substr( str_shuffle( $AlphaNumerischerString ), 0, 2 );
$ZufallStringKomplett = $ZufallString1.$ZufallString2.$ZufallString3;

// Sicherheitscode in der Session speichern
$_SESSION['captcha_code'] = md5( $ZufallStringKomplett );

// Grafik erzeugen und an den Browser senden
$Schriftarten = array( "zachary.ttf", "mtcorsva.ttf", "gilligan.ttf");
$Bilddatei = imagecreatefrompng( "hintergrund.png" );
$TextFarbe1 = imagecolorallocate( $Bilddatei, 0, 125, 0 );
$TextFarbe2 = imagecolorallocate( $Bilddatei, 130, 70, 90 );
$TextFarbe3 = imagecolorallocate( $Bilddatei, 180, 90, 190 );
imagettftext( $Bilddatei, 12, 15, 3, 24, $TextFarbe1, $Schriftarten[0], $ZufallString1 );
imagettftext( $Bilddatei, 16, 0, 26, 15, $TextFarbe2, $Schriftarten[1], $ZufallString2 );
imagettftext( $Bilddatei, 14, -20, 53, 18, $TextFarbe3, $Schriftarten[2], $ZufallString3 );
imagejpeg( $Bilddatei );

// Grafik zerstoeren und Speicher freigeben
imagedestroy( $Bilddatei );
?>

und die direkterdraht.php, in der ich schon einiges probiert habe, aber ich scheitere ja schon an der variablen, die es mir nicht ausgibt....

PHP-Code:

<?php
$code = $_SESSION['captcha_code'];
echo "<span style=\"color:#ffffff;\">Code: ".$code."<br></span>";

if (md5( $_POST['sicherheitscode'] ) != $_SESSION['captcha_code'])
    {
        $codeingabe = 0;
        echo "falsch";
        $CaptchaFehler = TRUE;
    }
else 
    {
        $codeingabe = 1;
        echo "richtig";
        $CaptchaFehler = FALSE;
    }

$gesendet = "0";



if (isset($_POST['vorname']) && $_POST['vorname'] != "" && isset($_POST['name']) &&$_POST['name'] != "" && isset($_POST['email']) &&$_POST['email'] != "" && isset($_POST['text']) && $_POST['text'] != "" && isset($_POST['sicherheitscode']) && $_POST['sicherheitscode'] != "" )
{
#hier alle Formularfelder als Variablen verwenden und an $mailtext anfuegen
$mailtext = "Vorname:\t".$_POST['vorname']."\n";
$mailtext .= "Name:\t\t".$_POST['name']."\n";
$mailtext .= "Club:\t\t".$_POST['firma']."\n";
$mailtext .= "Strasse:\t\t".$_POST['strasse']."\n";
$mailtext .= "PLZ:\t\t".$_POST['plz']."\n";
$mailtext .= "Ort:\t\t".$_POST['ort']."\n";
$mailtext .= "Telefon:\t\t".$_POST['tel']."\n";
$mailtext .= "eMail:\t\t".$_POST['email']."\n";
$mailtext .= "Text:\t\t".$_POST['text']."\n";

#Sonderzeichen entfernen
if(get_magic_quotes_gpc())
{
$mailtext = stripslashes($mailtext);
}

#eMailadresse des Empfaengers
$to = "xxx";
#Subject festlegen
$subject = "Kontaktformular";
#Absenderadresse festlegen
$from = $_POST['email'];
$res = mail($to,$subject,$mailtext,"From: $from\r\n");

#Weiterleiten auf Antwortseite
if ($res == true) 
{
$gesendet = "1";
}
#Nachricht wurde nicht versendet
else {
$meldung = "Deine Nachricht konnte leider nicht verschickt werden!<br>\nBitte versuchen es sp&auml;ter noch einmal.";
}
}

#kein Vorname
elseif (isset($_POST['vorname']) && $_POST['vorname'] == "") {
$meldung = "Du sollschd sage, wie dei Mama Dich ruft!";
}
#kein Name
elseif (isset($_POST['name']) && $_POST['name'] == "") {
$meldung = "Du sollschd angebe, wie Dein Chef Dich nennt!";
}
#keine email
elseif (isset($_POST['email']) && $_POST['email'] == "") {
$meldung = "Du sollschd neischreibe, wie die Adresse von Deim Internet-Briefkaschde is!";
}
#keine Nachricht
elseif (isset($_POST['text']) && $_POST['text'] == "") {
$meldung = "Du Dussel, leere Formulare werde ned angnomme!";
}

#kein Sicherheitscode
elseif (isset($_POST['sicherheitscode']) && ($_POST['sicherheitscode']) == "")
    {
        $meldung = "Sicherheitscode nicht eingegeben!";
        
    }
    
#falscher Sicherheitscode
elseif (isset ($_POST['sicherheitscode']) && ($_POST['sicherheitscode']) != "" && ($_POST['sicherheitscode']) != $_SESSION['captcha_code'])

#elseif (isset($_POST['sicherheitscode']) && ($_POST['sicherheitscode']) != $_SESSION['captcha_code'])
    {
        $meldung = "Sicherheitscode falsch eingegeben!";
    }

#erster Aufruf der Seite
else {
$meldung = "";
}

if ($gesendet==1) {
include("antwort.htm");
}
else
{
?>

<form action="index.php?site=direkterdraht.php" method="POST">
<table cellpadding="0" cellspacing="0" border="0" width="500">
<tr><th colspan="4" class="rot">Auch Du darfst uns ne Nachricht schicken!<br><br></th></tr>
<tr><td colspan="4">Guckschd Du: Feld mit Sternchen - schreib auf jeden Fall was nei!<br><br></th></tr>

<tr>
 <td><nobr>Vorname *</nobr></td>
 <td><input type="Text" name="vorname" value="<?php if (!empty($_POST['vorname'])) {echo $_POST['vorname'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>

 <td><nobr>Name *</nobr></td>
 <td><input type="Text" name="name" value="<?php if (!empty($_POST['name'])) {echo $_POST['name'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>
</tr>
<tr>
 <td>Ghörschd zu em Club?</td>
 <td><input type="Text" name="firma" value="<?php if (!empty($_POST['firma'])) {echo $_POST['firma'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>

 <td>Straße</td>
 <td><input type="Text" name="strasse" value="<?php if (!empty($_POST['strasse'])) {echo $_POST['strasse'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>
</tr>
<tr>
 <td><nobr>PLZ</nobr></td>
 <td><input type="Text" name="plz" value="<?php if (!empty($_POST['plz'])) {echo $_POST['plz'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>

 <td><nobr>Ort</nobr></td>
 <td><input type="Text" name="ort" value="<?php if (!empty($_POST['ort'])) {echo $_POST['ort'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>
</tr>
<tr>
 <td><nobr>Telefon</nobr></td>
 <td><input type="Text" name="tel" value="<?php if (!empty($_POST['tel'])) {echo $_POST['tel'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>

 
 <td><nobr>E-Mail *</nobr></td>
 <td><input type="Text" name="email" value="<?php if (!empty($_POST['email'])) {echo $_POST['email'];}?>" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';"></td>
</tr>
</table>
<br />

<table cellpadding="0" cellspacing="0" border="0" width="500">

<tr>
 <td colspan="2" style="padding-bottom:0px;"><nobr>Dei Gschwätz *</nobr></td></tr>
 <tr><td colspan="2"><textarea name="text" rows="4" class="inaktiv" onFocus="this.className='aktiv';" onBlur="this.className='inaktiv';" onmouseover="this.className='aktiv';" onmouseout="this.className='inaktiv';">
<?php if (!empty($_POST['text'])) {echo $_POST['text'];}?></textarea></td>
</tr>

<tr>
 <td colspan="2" style="padding-bottom:0px;">
    <img src="captcha.php" alt="Sicherheitscode" title="Sicherheitscode" width="80" height="25" /><br /><?php echo $CaptchaFehler ? '<span style="color: #FF0000;">Bitte Sicherheitscode eingeben:</span>' : 'Bitte Sicherheitscode eingeben:'; ?>
            <input name="sicherheitscode" id="sicherheitscode" type="text" />

</td></tr>
<tr>
<th class="rot" width="386">
<!-- Ausgabe einer Fehlermeldung-->
<?php
print $meldung
?>
</th>

<td style="text-align:left;">
<input type="submit" value="Ab damit!" class="button">
</td>
</tr>

<tr><td colspan="2"><br>* Pflichtangaben<br>Wir behalten sie für uns!<br></td></tr>
</table>
<br>
</form>
<?php
}
?>

Hilfe...
Danke!!!

[tusnelda]

Das heißt, ich kann mir im Kontaktformular gar nicht den Code selbst zum Vergleich anzeigen?
Steht der sonst irgendwo? In einem Logfile vielleicht?
Irgendwie steh ich auf der Leitung, wie soll ich es vergleichen, wenn es nicht da ist?!
Vielleicht geht dann ja schon eine der vielen Abfragen, die ich reingebaut habe schon...
Dann probier ich wohl mal weiter!
Aber wenn Du noch nen Tipp hast, bin ich sehr dankbar!
Grüßle

[phpBuddy]

Sicher kannst Du den Code vergleichen, sonst würde ein CAPTCHA ja kein Sinn machen.

Also stell Dir das so vor:
Zeile 1: Session wird gestartet (leer beim ersten Aufruf)
Zeile 2: Testweise den CAPTCHA Code ausgeben
Zeile 10: Formular wird geprüft, CAPTCHA Code wird verglichen
Zeile 20: CAPTCHA Grafik wird eingebunden (zeitgleich wird der Code in die Session geschrieben)

Da erst in Zeile 20 die Session mit dem Code befüllt wird, kannst Du natürlich beim ersten Aufruf in Zeile 2 keinen Code vergleichen.
Schickst Du nun das Formular ab, steht in der Session der Code der vorherigen Seite, genau wie die eingegebenen Daten im POST Array stehen. Du kannst jetzt also BIS Zeile 20 den Code in der Session ausgeben, mit der Benutzereingabe vergleichen und sonstwas machen. AB Zeile 20 steht natürlich wieder ein anderer Code drin, weil in Zeile 20 ein neuer Code generiert und in die Session geschrieben wird. Das meine ich mit "versetzt".

[tusnelda]

Vielen Dank für die ausführliche Antwort! Ui...
Das muss ich mir nochmal in Ruhe anschauen - sprich nicht mehr heute :-)
Vielleicht klappt es am Wochenende mit klarem Köpfchen besser...
Wenn nicht habe ich keine Hemmungen Dir nochmal auf die Nerven zu gehen, ok? ;-)
Schönen Abend und vielen Dank nochmal!

[Saphir]

Hallo,
ich habe mal ein Fragen, und zwar nutze ich zurzeit diesen Captcha, aber ich wollte es nun so machen das er die Bilder ein temp Ordner abpspeichert. Nun meine Fragen wie geht das am besten?

Mit:

PHP-Code:

chmod("../temp/".$Bilddatei.'jpg', 777);
o.
chmod("../temp/".$Bilddatei, 777); 


Geht es nicht.

Villeicht kann mir einer ja Helfen.

[His.Master's.Voice]

... aber ich wollte es nun so machen das er die Bilder ein temp Ordner abpspeichert.

Hallo Saphir,

das Captcha Script von Rizzo erzeugt nicht mehrere Bild-Dateien. Es wird die hintergrund.png als Vorlage genutzt, auf die anschließend die Buchstaben-Zahlen-Kombinationen geschrieben werden. Das Script schickt diese erzeugte Datei anschließend an den Browser.

PHP-Code:

$Bilddatei = imagecreatefrompng( "hintergrund.png" ); 


Somit kannst du Dir die Sache mit dem /temp Ordner sparen.

[seo4info]

Das Script ist spitze und das Ergebnis kann sich optisch sehen lassen. Ich habe es nun auf meine Bedürfnisse angepasst bekomme aber keine mail Ausgabe hin. Hat das vielleicht schon jemand erfolgreich versucht?

[His.Master's.Voice]

Hallo seo4info,

das Script hier stellt wie in posting #9 und #10 angemerkt, kein vollwertiges Mail-Formular-Script zur Verfügung. Im Posting #10 findest du einen Hinweis auf ein solches. D.h. du musst dir den Part für den Mailversand nocht dazu erstellen.

[seo4info]

Hallo HMV,

vielen Dank für Deine schnelle Antwort. Ja Post #10 hatte ich gesehen und bin auch dem Link gefolgt.
Der Formmailer, der sich dahinter verbirgt enthält aber kein Captcha. Und ich hatte gehofft, dass vielleicht schon jemand die Integration gemacht hat, so dass man nicht noch einmal von vorne anfangen muss ...

[His.Master's.Voice]

Anbei meine Version des Formmailers mit dem ergänzten Captcha Schutz von phpbuddy.

Code:

 
<?php
// Session starten fuer Captcha erforderlich
session_start();
/*******************************************/
/* formmailer.php                          */
/*                                         */
/* FORMMAILER mit Reloadsperre             */
/*                                         */
/* von Steffen Kamper                      */
/* erstellt für das Traumprojekt-Forum     */
/*                                         */
/* Captcha Schutz ergänzt von U. Lutz      */
/* Vielen Dank an www.phpbuddy.eu          */
/*******************************************/

//erstmal Variablen definieren
$pagename="formmailer.php";
$error=$name=$email=$message="";
// Variablen initialisieren fuer Captcha 
$CaptchaFehler = FALSE;
$Fehlerfrei = TRUE;
// an wen geht die Mail ?
$empfaenger="info@meinemailblabla.de";
if(isset($_POST['domail'])) {
  
 
 // es wurde abschicken gedrückt, also erst mal die Felder holen
 $name=get_magic_quotes_gpc() ? stripslashes($_POST['name']) : $_POST['name'];
 $email=get_magic_quotes_gpc() ? stripslashes($_POST['email']) : $_POST['email'];
 //Message setzt sich aus allen Eingaben zusammen
 $message=get_magic_quotes_gpc() ? stripslashes($_POST['message']) : $_POST['message'];
 
 //Form-Attacken verhindern (suche nach \r\n oder \n)
 if(strpos($name,"\r\n")>0 || strpos($name,"\n")>0) {
  DebugAttack(substr($name,strpos($name,"\r\n")));
  $name="";
 }
 if(strpos($email,"\r\n")>0 || strpos($email,"\n")>0) {
  DebugAttack(substr($email,strpos($email,"\r\n")));
  $email="";
 }
 // wir setzen einen Flag, um Fehler zu registrieren
 $ok=true;
 //jetzt werden die Felder überprüft
 //Pruefen ob Sicherheitscode richtig eingetragen wurde
 if (md5( $_POST['sicherheitscode'] ) != $_SESSION['captcha_code'])
 {
  $Fehlerfrei = FALSE;
  $CaptchaFehler = TRUE;
 }
 if($CaptchaFehler) // Sicherheitscode nicht korrekt eingegeben
 {
  $err[3]=true; //Fehler merken
  $ok=false;    //Fehlerflag setzen
  $error.='Sicherheitscode nicht korrekt - bitte erneut eingeben.<br>'; // Fehlertext
 }
 if (strlen($name)<3) // der Name muss mindestens 3 Zeichen haben
 {
  $err[0]=true; //Fehler merken
  $ok=false;    //Fehlerflag setzen
  $error.='Bitte geben Sie Ihren Namen an. (mindestens 3 Zeichen).<br>'; // Fehlertext
 }
 if ( (!(eregi('^[a-z0-9_\.-]+@[a-z0-9_-]+\.[a-z0-9_\.-]+$',$email))) && (strlen($email)>0) || $email=="")
 {
  //email-Adresse ist ungültig
  $err[1]=true;
  $ok=false;
  $error.='Bitte kontrollieren Sie die angegebene E-Mail-Adresse.<br>';
 }
 if (strlen($message)<10) // die Message muss mindestens 10 Zeichen haben
 {
  $err[2]=true; //Fehler merken
  $ok=false;    //Fehlerflag setzen
  $error.='Bitte geben Sie eine Nachricht von mindestens 10 Zeichen ein.<br>'; // Fehlertext
 }
 // ist alles ok ? dann senden
 if($ok)
 {
  //Mail komponieren
  $mailheader="From: formular@deineSeiteblabla.de\r\nX-Mailer: PHP/" . phpversion(). "\r\nX-Sender-IP: ".$_SERVER['REMOTE_ADDR']."\r\nContent-Type: text/html; charset=ISO-8859-1;";
        $message=nl2br("Name: $name\nEmail: <a href=\"mailto:$email\">$email</a>\n<hr>$message");
  $subject="Webseiten-Nachricht vom ".date("d.m.Y");
        if (@mail($empfaenger, $subject, $message, $mailheader)) {
            //Alles ok, Seite neuladen (Reloadsperre)
            header("Location:$pagename?success");
   //falls kein Header gesendet werden kann, dann mit javascript
   //echo '<script type="text/javascript">document.location.href="'.$pagename.'?success"</script>';
   exit;
        } else {
            $error='<h3>Fehler beim Mailen aufgetreten</h3>';
        }
 } else {
  // Fehler ausgeben
  $error='<h3>Fehler bei der Eingabe</h3><p class="error">'.$error.'</p>';
 }
}
?>
<?php echo '<?xml version="1.0" encoding="utf-8"?>' ?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de-de" lang="de-de" dir="ltr" >
<head>
  <meta http-equiv="content-type" content="text/html; charset=utf-8" />
  <meta name="robots" content="index, follow" />
  <meta name="keywords" content="" />
  <meta name="description" content="" />
  <title>Testseite Formmailer</title>
  <link rel="stylesheet" href="style.css" type="text/css" />
</head>
<body>
<div>
<h4>Kontaktaufnahme</h4>
<p>Wir beantworten gerne Ihre Anfragen. Mit dem Kontaktformular können Sie uns schnell und einfach eine Nachricht senden.
</p>
<?php
if($error!="") echo $error;
if(isset($_GET['success'])) {
 //Erfolgsnachricht ausgeben
 echo '<p class="normtxt"><b>Vielen Dank für Ihre Nachricht. Sie wurde erfolgreich verschickt.</b></p>';
} else {
 // Form ausgeben
?>
<form class="kontakt" action="<?php echo $pagename;?>" method="post" name="formmailer">
<fieldset><legend></legend>
<label for="name">Ihr Name</label>
<input type="Text" value="<?php echo $name;?>" maxlength="60" size="50" name="name" <?php if(isset($err[0])) echo  'class="fehler"';?>>
<label for="email">Email-Adresse</label>
<input type="Text" value="<?php echo $email;?>" maxlength="80" size="50" name="email" <?php if(isset($err[1])) echo  'class="fehler"';?>>
<label for="comment">Nachricht</label>
<textarea cols="10" rows="10" name="message" <?php if(isset($err[2])) echo  'class="fehler"';?>><?php echo $message;?></textarea>
<label for="sicherheitscode">Bitte Sicherheitscode eingeben</label>
<img src="captcha.php" alt="code" title="Sicherheitscode" width="120" height="40" /><br />
<input name="sicherheitscode" class="sikcode" id="sicherheitscode" type="text" <?php if(isset($err[3])) echo  'class="fehler"';?>><br />
<input type="submit" class="button" value="Abschicken" name="domail">&nbsp;&nbsp;&nbsp;&nbsp;
<input type="reset" class="button" value="Zurücksetzen" name="reset">
</fieldset>
</form>
<?php
}
function DebugAttack($s) {
 //Hier den Pfad für die Protokolldatei einfügen, wenn kein Protokoll erwünscht ist, einfach auskommentieren
 $fp=fopen("/tmp/attack.txt","ab");
 fwrite($fp,$s);
 fclose($fp);
}
?>
</div>
 
</body>
</html>

Diese beiden Parts musst du dann noch natürlich anpassen, sowie z.B. die Meta Tags, tittle im Header. Im form Tag habe ich auch noch Klassen ergänzt um das Formular per CSS anzupassen.

Code:

 
// an wen geht die Mail ?
$empfaenger="info@meinemailblabla.de";

Code:

 
//Mail komponieren
$mailheader="From: formular@deineSeiteblabla.de\r\nX-Mailer: