Come proteggere i form di dati dallo spam

In qualsiasi form (modulo) di trasmissione di dati usato all’interno del vostro sito web è utile adottare una tecnica di protezione per evitare che gli spambots compilino e inviino dati al posto dei comuni utenti causando danno al vostro server e compromettendo la sicurezza.

A questo scopo il consiglio è quello di adottare un sistema di captcha, ovvero un sistema che chiede all’utente di inserire una determinata frase, composta di lettere e numeri, per verificare che sia una persona umana a inviare i dati, come nell'esempio sottostante:

Purtroppo con il passare del tempo anche gli spambots sono riusciti a violare questi sistemi, tanto da spingere i ricercatori ad utilizzare nuovi sistemi. reCaptcha (http://www.google.com/recaptcha/whyrecaptcha), un sistema sviluppato da una società successivamente acquisita da Google, oggi il metodo più sicuro per prevenire lo spam e avere un controllo accurato dei dati inseriti e inviati verso i vostri database.

reCaptcha è di fatto un webservice, per cui Google richiede la registrazione online e l’utilizzo di un set di API per effettuare le richieste ai server che forniscono le immagini da verificare. Per iniziare ad utilizzare reCaptcha è sufficiente creare un account gratuito a questo indirizzo: https://www.google.com/recaptcha/admin/create . E’ necessario da subito specificare il vostro dominio, e nel caso dobbiate utilizzare la soluzione di captcha su più domini, Google mette a disposizione un form di inserimento multiplo poche righe sotto.

Al termine della registrazione vi verrà fornita la Public API Key e la Private API Key, tenetele a portata di mano perchè ci serviranno a breve!

Come inserire il reCaptcha in una pagina web?

Il codice da inserire all’interno del nostro FORM è il seguente:

<html>
<body>

//dichiariamo il FORM di inserimento dati
//la pagina a cui rimandiamo si chiama Verify.php, possiamo modificarla adattandola alle nostre esigenze

      <form method="post" action="verify.php">
        <?php
          require_once('recaptchalib.php');
          $publickey = "your_public_key"; //inseriamo quella che
                                          //ci è stata fornita
                                          //come public key
          echo recaptcha_get_html($publickey);
        ?>
        <input type="submit" />
      </form>

     //qui possiamo aggiungere altro contenuto per la nostra pagina
    </body>
  </html>

Da notare una cosa nel codice: la pagina recaptchalib.php deve essere inclusa nella stessa directory del nostro file contenente il FORM.

Vediamo ora quale codice utilizzare nella pagina Verify.php per assicurarsi che quanto inserito dall’utente sia corretto:

<?php
  require_once('recaptchalib.php');
  $privatekey = "your_private_key";
  $resp = recaptcha_check_answer ($privatekey,
            $_SERVER["REMOTE_ADDR"],
            $_POST["recaptcha_challenge_field"],
            $_POST["recaptcha_response_field"]);

  if (!$resp->is_valid) {
    // Se le parole inserite sono sbagliate
    die ("Il testo inserito non è corretto, riprova." .
         "(reCAPTCHA said: " . $resp->error . ")");
  } else {
    // Qui andiamo a inserire il codice da utilizzare se la verifica è andata a buon fine, potrebbe essere per esempio
l’invio di una email con i dati del form oppure lo store dei dati
su database
  }
?>

In questo modo tutti i dati che vengono inviati siamo sicuri vengano compilati da una persona umana e non da un bot. L’utilizzo di un captcha è molto consigliato soprattutto quando i vostri form inviano poi informazioni via email: gli spambots potrebbero riempire la vostra casella di posta elettronica di spam.

Tutta la documentazione su reCaptcha e sul suo utilizzo è disponibile al seguente indirizzo, con una serie di esempi anche per altri linguaggi: http://code.google.com/apis/recaptcha/intro.html