parser

Написать ответ на текущее сообщение

 

 
   команды управления поиском

это ломается так:

Александр Петросян (PAF) 08.03.2006 08:56 / 08.03.2006 08:59

сначала хакер смотрит глазами,
и видит, что на картинке
<img src="/num.html?id=91929399" />
написано «сто двадцать три». это подметить тривиально (не нужно видеть ваш код).

после чего хакер даже не пытается писать код распознавания картинки, ему это не нужно, он сразу знает, что вписать в поле.


вы почти всё правильно сделали — таблица соответствия видимого мусорного id и того, что ожидают от человека.

однако устроили прямую связь между видимой хакеру id'шкой
<img src="/num.html?id=$id" />
и текстом на картинке.

а нужно было
1. устроить случайную связь:
после создания случайной $id, в базу записать случайное же число, которое и ожидать от пользователя.
базу чистить от старого мусора по record.time<порог.

2. не забыть о том, что картинка должна быть трудно распознаваемой на автомате. если вы не затрудните её распознание, робот хакера просто «прочтёт» картинку, и восстановит написанный на ней текст.