如何在PHP中防止ajax垃圾邮件？

由于您只允许已登录的用户进行AJAX操作，因此解决这个问题非常简单。

• 为每个账户创建一个时间戳字段。您可以在数据库中执行此操作，也可以利用Memcached，或者使用平面文件。
• 每次用户通过您的AJAX接口发出请求时，将当前时间戳添加到您的记录中，并：
• 检查最近的八个时间戳是否都在一分钟之前之前。

从那里，您可以添加其他魔法，例如临时禁止违反速度限制的帐户，或将违规者的IP地址与已知垃圾邮件发送者的黑名单进行比较等等。

你是在谈论针对你的网站的特定ajax垃圾邮件，还是一般的ajax垃圾邮件？

如果是后者，您可以使用哈希来防止自动发送表单，即编写一个hash()单向函数，它接受字符串并对其进行sha1校验和。

这就是如何使用它：

// 该页面是博客文章＃357
$id = 357;
$type = 'post';
$hash = hash($_SERVER['REMOTE_ADDR'].$type.$id);

将该哈希放入隐藏字段中，该字段不在评论表单内，甚至不在隐藏的div中，而是在页面底部的某个地方，并将其命名为“control_hash”或其他名称。在表单提交时将其值附加到ajax请求上。当脚本接收到表单时，从$_REQUEST数据（不包括现有的$control_hash）生成新哈希，并检查它们是否匹配。

如果表单是由机器人提交的，则它将没有$control_hash，因此无法通过。

是的，你需要在每个函数中使用一个函数来实现视图之间的交互，而且它应该在全局库中，这样你就可以在任何地方使用它。

if(is_logged_in())
{
    // do you code here 
}

当is_logged in定义如下时

function is_logged_in($activated = TRUE)
{
    return $this->ci->session->userdata('status') === ($activated ? STATUS_ACTIVATED : STATUS_NOT_ACTIVATED);
}

用户成功登录后，您应该设置状态会话。

如果您可以访问网站的源代码，您可以重写一些实际执行 AJAX 请求的 JavaScript 代码。例如，您的页面可以有一个隐藏的计数器字段，每次用户点击按钮时都会增加。此外，您还可以在页面上隐藏一个时间字段，以评估点击频率。

这个想法是您甚至不必向服务器发送任何内容 - 只需在脚本内部在客户端上检查即可。当然，这对于直接寻址服务器的机器人是无济于事的。

这真的取决于这种垃圾邮件的结果。如果你只是想避免写入数据库，所有这些检查可能会消耗比实际写入数据库更多的资源。

目的是否正当？

您还必须判断此类垃圾邮件的概率。大多数机器人并不聪明，在涉及某些日志记录时将失败。

这只是我的个人意见，其他答案完全有效以避免垃圾邮件。

购买更强大的托管服务以能够处理请求，不要限制它们。每分钟8个请求是荒谬的。
无论如何，如果请求是“合法”的，您应该找到方法来处理请求，而不是限制它们。如果不“合法”，则应该在没有任何“时间”限制的情况下拒绝它们。

你可以使用一个会话字段，并使用一个全局变量保存上次ajax请求的时间。因为你想允许8个请求，所以将其定义为一个大小为8的数组，并检查时间差异。如果时间增加了（很重要），不一定是机器人，可以给用户一个验证码或类似的东西（比如一个数学问题）来确认。

一旦验证码验证通过，就允许下一批帖子等等。

但请确保你在检查特定的会话和用户。

Kerin的回答很好，我只是想强调一下验证码的重要性。

是的，你的想法原则上是好的。但需要考虑以下几点：

• 如果你全局跟踪限制，那么你可能会遇到机器人 DoS 你的服务器并阻止合法用户使用你的“收藏”按钮的问题。
• 如果你基于IP跟踪请求，那么有人可以使用机器人网络（多个IP）来绕过你的阻止。根据你的网站和你的偏好，也许应该基于IP子网进行限制。
• 安装和使用Memcache来存储和跟踪请求，特别是如果你要基于IP跟踪。这应该比使用会话变量更快（也许有人会纠正我）。