Как остановить спаммеров, входящих http в форму к базе данных

Следует учитывать две вещи, которые следует реализовать параллельно (возможно, есть еще кое-что).

1. Captcha (как упоминалось ранее)
2. Проверьте свои данные на стороне сервера! Вы писали, что делаете это с помощью javascript. Это хорошо, но тот же процесс проверки должен быть написан на PHP.

Что ж, для CAPTCHA вам все равно придется выполнять проверку на стороне сервера. Но даже если вы решили не использовать капчу, вам следует провести проверку данных на стороне сервера.

Никогда не доверяйте клиенту. Всегда проверяйте все данные на стороне сервера. JavaScript для проверки формы может быть просто дополнительной функцией. Вы можете начать с основных функций PHP, чтобы проверить, содержит ли контент определенные строки, которые вам не нравятся, например. «http: //».

if (strpos('http://', $_POST['message']) !== false) { /* refuse */ }

Вы можете использовать CSRF-защиту для предотвращения спамеров, я считаю это весьма эффективным.

Что это такое и как это работает

Другой хитрый метод - включить поле «приманки» - скрытое поле, которое никогда не должно передаваться вместе с содержимым. Если он заполнен, значит, это спам. Ни один из этих методов не требует назойливой CAPTCHA.

Я предлагаю использовать функцию htmlentities() перед вставкой.

Очевидно, что вставка должна быть выполнена с использованием параметризованных запросов для взаимодействия с базой данных. captcha - это, конечно, вариант, но он больше служит для ограничения того, как часто кто-то может писать, а не что он может писать. Используйте экранирование hmtl (опять же, функция htmlentities()), чтобы предотвратить ввод пользователем того, что вам не нужно.