请教防止恶意注册的方法,急!!!

2015-07-07 11:04:58 +08:00
 yzn
发现网站有恶意的注册,可以基本肯定不是人手动恶意注册。

采取过的手段:
1、修改注册页面的文件名。(可保短暂的安宁)
2、更换了N个图片验证码、计算形式的验证码、也都用了,也只能短暂平静。
3、利用cookies、session记录IP,限制一个IP一天只能注册一次,我自己测试完全可以限制住,第一次注册可以正常完成,第二次就注册不了,但不知道为什么这限制对于这次的恶意注册一个点用都没

我也想过会不会是直接SQL的注入,但从我的处理方法中可以得出结论,必须要通过那个页面才能注册的,而且我这边在代码中直接限制谁都不能注册,结果也可以限制住。

希望高手们帮忙分析下这问题是怎么回事,要怎么样解决下,折腾了两天了,还是没弄好,着急上火了,大家帮帮忙,跪谢了!
12949 次点击
所在节点    程序员
52 条回复
lyragosa
2015-07-07 21:06:25 +08:00
让恶意注册你网站的收益小于他恶意注册的成本。

就不会有人恶意注册了。

我的网站开了几年,几乎没有打开过任何的注册限制(当然这些功能都做了,只是没实装),也没见有人大规模恶意注册。
Stof
2015-07-07 21:11:57 +08:00
@mrjoel

23333...

这个主意确实好,但也限制不了,只是门槛增加了。。。

再加上这个 http://www.geetest.com/experience/popup
xrui
2015-07-07 21:17:34 +08:00
@Stof 蛇形的那个简直了…划了五次才过去
bluepig
2015-07-08 02:43:13 +08:00
Google现在用的门牌号这种验证码貌似不错
再加手机验证
r00tt
2015-07-08 08:41:02 +08:00
怎么获取的,x-forward-for这种只要修改头就可以伪造啦
fraudmetrix
2015-07-08 09:57:07 +08:00
@yzn http://www.tongdun.cn/activity/A201506.html?1
recall704
2015-07-08 13:36:25 +08:00
个人比较推荐等级制度来限制用户行为.

比如不注册的用户不能下载.
新注册的用户不能发帖子,能下载.
用户完成某个动作后变成正式用户(比如 email 认证,手机认证)

或者新注册的用户发的帖子是不公开的,需要审核的.

说得简单点,就是用户需要对自己的行为付出一定的代价,这种代价越是无形的越好.
sampeng
2015-07-08 16:52:25 +08:00
只要不是1小时几万注册那种。。。多点又不会少块肉。。。
gamecreating
2015-07-08 18:32:25 +08:00
手机号 短信 验证
holinhot
2015-07-08 23:39:48 +08:00
短信验证妥妥的
holinhot
2015-07-08 23:49:09 +08:00
现在都有专业打码团队 验证码何用
holinhot
2015-07-08 23:51:11 +08:00
国外有那个游戏验证码 请把所有蚊子都拍死

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/203895

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX