Trackback也需要验证码，无奈

提供几个2.0.2可用的

公告：更换了服务器

2006年4月9日星期日 13:49, bob, 技术随笔, 评论(29), 阅读(31615)

大 | 中 | 小

前一段时间刚看到keso与phpx.com事件，这几天就相继有北辰和swearl 反应被人用Trackback骚扰了。我这里虽然大体平静，但也偶然会有几个spammer光顾。看起来，继评论、留言本之后，广大spammer又发现新的战场了。

最容易被Trackback Spam利用的一点是Trackback URL的连续性，phpx的老大就是利用了这一点。大多数blog程序在设计的时候，Trackback ID都是连贯的，举例如下所示：
http://127.0.0.1/test/tb.php?t=1
http://127.0.0.1/test/tb.php?t=2
http://127.0.0.1/test/tb.php?t=3
http://127.0.0.1/test/tb.php?t=4
显然这样的设计，对于自动发送spam的程序来说真是太爽了。

现在的问题就是怎么去改进。改动ID的规则，改连续为随机，这是个解决方法。但是这样的改动不算小。而且，连续性的ID之所以受到欢迎是有原因的，比如管理起来很方便，比如可以利用SQL现成的auto_increment生成等。所以，最好能在不变动ID的情况下防范自动spam。

那就只能给Trackback加上一个“验证码”。在原有的trackback地址之外添加一个参数，并在接受trackback时验证。

我现在的做法是：取日志的ID，再取日志发布时间的Unix时间戳记，两者连接后作md5计算，截取md5字串的开头一部分作为验证码。PHP程序大致如下：


<?php

function tbcertificate ($blogid, $pubtime) {

    $str=substr(md5($blogid.$pubtime), 0, 5);

    return $str;

}

?>

trackback的地址变成：
http://127.0.0.1/test/tb.php?t=1&extra=400e6
http://127.0.0.1/test/tb.php?t=2&extra=fa933
http://127.0.0.1/test/tb.php?t=3&extra=349d2
……

如果是防范自动推导Trackback地址并发送spam的程序，那么至此已经可以解决问题了。我想大部分spam都是这样的程序发送的。

当然，有可能魔高一丈。比如说在知道了验证码的算法后，spam程序依然可以从rss等地方提取出时间和ID这两个值来，自动推算出验证码。不过我想暂时地，不会有那么无聊的人士做这样的事情的。而且对策也不是没有。我们可以自设一个密码字符，加入到被md5计算的字符串中去。不过（-_-）spammer实在没辙了还可以直接上你的网站“采集”trackback地址啊。这个怎么解决呢？好吧，如果真有那么一天，我只能用javascript来生成地址了……（至于么......）