בניתי מחלקה שמייצרת לי סקיורטי טוקן..
עכשיו יש לי מעין בעייה אם הבנאדם משאיר את הדף פתוח
ופותח עוד דף שמשתמש בסקיורטי טוקן -- הוא לא יוכל לשלוח (תגובה או מה שזה לא יהיה) מהדף הקודם
-כי המפתח של הסקיורטי טוקן מהדף הישן כבר לא קיים בשרת

-למישהוא יש רעיון איך לפתור את הבעייה
-כבר חשבתי על רעיונות אבל לכולם יש פגם משמעותי
מקווה שהייתי מובן תודה

אם אתה יוצר כל פעם TOKEN חדש ב SESSION אז כל ה FORMים הקודמים שמכילים את ה TOEKN הישן כבר לא רלוונטים, כמו שאמרת בעצמך.

יש שתי שיטות לפתור את זה,
הדרך הראשונה היא ליצור TOKEN אחד עבור כל ה SESSION, ואז זה לא משנה אם אתה יוצר דף חדש כי היוזר עדיין נמצא באותו סשן ויש TOKEN אחד עבור כל הפורמים.

הדרך השנייה היא ליצור SESSION עם TOKEN ייחודי לכל FORM, אתה יכול לזהות פורם לפי שם או עם מזהה יוניק.

עדיף לך להיצמד לדרך הראשונה

הבעייה עם הדרך הראשונה שהצגתה -זה שאתה מאבד את האפקט של סקיורטי-טוקן
-------אם המפתח קבוע ניתן לשלוח תטופס מלא פעמים
הדרך השנייה חשבתי עלייה אבל יש בעייה- אם לכל FORM אתה יוצר מפתח(סקיורטי-טוקן)
1.איך אתה שומר לכל FORM על השרת שלך את המפתח לאימות
2.אם בן אדם(די הרבה אנשים) פותח מלא דפים שיש בהם FORMים השרת שלך מתמלא SEASONים מיותרים

הדרך הראשונה היא מצוינת כי סיקיוריטי טוקן לא בא למנוע הצפות, הוא בא לוודא שהיוזר שולח בקשה עם הטופס שהוא הוריד מהאתר ולא טופס זדוני.

אם אתה רוצה למנוע סמביט כפול אתה יכול להשתמש בג'אווה סקריפט ולהפוך את הכפתור ללא פעיל אחרי שלחצו עליו פעם אחת.

בקשר להצפות עבור תגובות, תוודא שמשתמש לא יכול להוסיף תגובה חדשה אם התגובה האחרונה שלו היא לפני 5 שניות.

ציטוט:

במקור נכתב על ידי gilsilas הדרך הראשונה היא מצוינת כי סיקיוריטי טוקן לא בא למנוע הצפות, הוא בא לוודא שהיוזר שולח בקשה עם הטופס שהוא הוריד מהאתר ולא טופס זדוני. אם אתה רוצה למנוע סמביט כפול אתה יכול להשתמש בג'אווה סקריפט ולהפוך את הכפתור ללא פעיל אחרי שלחצו עליו פעם אחת. בקשר להצפות עבור תגובות, תוודא שמשתמש לא יכול להוסיף תגובה חדשה אם התגובה האחרונה שלו היא לפני 5 שניות.

צודק שסקיורטי טוקן נועד מפני טפסים זדוניים (מאימייל וכאלה)
אבל אני רוצה שהוא ישמש אותי גם להצפות (-זה אומנם לא מונע)

--אמרתה שכדי למנוע הצפות תבדוק אם הוא הגיב ב5 שניות אחרונות
אז אצלי יש כל מיני פעולות לאו דווקא תגובות שאני רוצה שהסקיורטי טוקן
יסנן את הצפות בהפעלתן...

אז אם יש לך רעיון שיכול לעזור לי... תודה

אתה לא יכול למנוע הצפות עם סיקיוריטי טוקן, אפשר בקלות לעשות סקריפט שמוריד את הטופס מהאתר שלך (עם הסיקיוריטי טוקן) ועושה לו סבמיט.

בשביל למנוע הצפות בדיבי תיצור טבלה שרושמת עבור כל משתמש (לאו דווקא משתמש רשום, אפשר גם לפי מזהה של סשן) מתי התבצעה הפעולה האחרונה שלו מול הדיבי, אתה יכול לקחת את זה יותר רחוק ולעקוב אחר כל פעולה משמעותית.

שהמשתמש מנסה להכניס תוכן חדש, תבדוק מתי התוכן האחרון שלו נכנס ולפי זה תחליט אם אתה מאשר להכניס את התוכן או לא, אם כן, תעדכן את הטבלה הקודמת בהתאם.

אז זהו - אני יודע שסקיורטי טוקן לבד הוא לא מושלם לחסימת הצפות...
לכן אני רוצה להוסיף למחלקה איזה שהיא שיטה שתזכור על הסשן(או משהו בסגנון)
את מס' הפעולות של טפסים שהגולש הפעיל
ולפי זה לתת לו אישור או דחייה.. - אני לא אוהב את הגישה של ישר ללכת לDB (סתם טיול למסד)
כדי לקבל מידע כזה

זה לא שהסיקיוריטי טוקן לא מספיק טוב לזה, הסיקיוריטי טוקן לא מיועד מזה.
אין קשר בין סיקיוריטי טוקן להצפות (מתחיל לעייף לחזור על זה).

אני לא מבין למה אתה כל כך נתרע מהדטאבייס.

אתה יכול לעשות סשן ששומר את הפעולה האחרונה של המשתמש, אבל שוב, אפשר לעשות סקריפט שכל בקשה מאפס את הסשן (מוחק את העוגיה) ואז לא השגת פה כלום.

אם יש לך מערכת עם משתמשים, תשמור בדיבי פעולה אחרונה עבור כל משתמש, זאת הדרך הכי יעילה ובטוחה למנוע הצפות וככה עושים את זה.

אם המערכת פתוחה, אתה יכול למנוע לפי סשן-איידי, אבל שים לב שהלקוח שלנו יכול לקבל סשן איידי חדש בקלות בכל בקשה אם הוא רוצה (פשוט למחוק את העוגיה) לכן עדיף לזהות את המשתמש במקרה הזה לפי אייפי ולא לפי סשן.
תזכור שכיום (לרוב), כל קבוצה של משתמשים מקושרת לאותו אייפי (מחוברים לאותו ראוטר) ולא כל מחשב לאייפי כמו שהיה פעם.
אז תהיה יותר גמיש שלא יקרה מצב שמישהו שיושב לידי בבית קפה מוסיף תוכן וכשאני גם בא להוסיף תוכן המערכת מזהה אותי כספאמר.

ציטוט:

אתה יכול לעשות סשן ששומר את הפעולה האחרונה של המשתמש, אבל שוב, אפשר לעשות סקריפט שכל בקשה מאפס את הסשן (מוחק את העוגיה) ואז לא השגת פה כלום.

אם הוא מוחק את העוגייה אז הוא גם מתנתק מהאתר...

אבל במחשבה שנייה אני באמת מנסה לעשות את זה(מניעת הצפה) עם סקיורטי טוקן יותר מדי בכח
כנראה אני יעשה את זה
בעזרת משהו אחר

ציטוט:

אני לא מבין למה אתה כל כך נתרע מהדטאבייס.

מעדיף כמה שפחות לפנות לDB --ככה אני

ציטוט:

במקור נכתב על ידי DHT20 אם הוא מוחק את העוגייה אז הוא גם מתנתק מהאתר...

אז נעשה סקריפט שמוחק את העוגיה ומתחבר שוב לאתר ואז עושה פוסט.

אם רק משתמש רשום יכול להכניס תוכן אז יותר קל למנוע הצפות, אבל אתה חייב שיהיה לך מעקב אחרי מה שהיוזר עשה בשביל לבקר אם הוא מציף או לא.

אני צריך שתסכים איתי קודם כל בשני אלו
1.אתה מסכים איתי שגישה לDB יותר יקרה (מבחינת זמן ביצועים)
2.נגיד שבאתר יש הרבה גולשים (נגיד והאתר גדול)

א. חלק גדול מהגולשים ינסו לשלוח הרבה בקשות (הודעות פוסטים וכו') במרווחים קצרים --ולא בכוונה.
ב. וחלק קטןמהגולשים ינסו להציף את המערכת בכוונה בלי תיחקום (בלי סקריפטים וכאלה)
ג. וחלק עוד יותר קטן ינסו להציף ובכוונה עם שיטות סקריפטים פרוקסי ובלבה בלה בלה

אם אתה מסכים עם ההנחות למטה אני מתכוון לעשות ככה
אם מישהו שולח תגובה התגובה נרשמת רגיל במסד -- עם חותמת זמן
וגם הוא נרשם בסשן שלו -למה?
לחסום את אלה מסעיפים א' ו- ב' (אלה בלי הכוונה, ואלה שמנסים להציף בלי סקריפט)
ומי שמוחק סשנים וכאלה יעבור לבדיקה מה DB ...

מקווה שהייתי מובן

איך אתה מתכנן לזהות מי מוחק סשנים?

הבן אדם הזה הוא משתמש באתר.
ובמסד נרשם הid שלו עם זמן תגובה אחרונה..