php限制惡意提交

現在在完善網站的評論系統， 由於設計時是不想讓使用者輸入驗證碼的， 但是最近一段時間發現被惡意使用者惡意刷評論，我剛開始也是做了限制，例如使用者必須登入才能發表評論（前期是可以匿名評論的），關鍵詞過濾，IP地址過濾，垃圾評論檢測， 但是現在有的惡意使用者，為了刷那每天的50分，註冊了幾百個帳號（目前檢查出來的，已經禁止這部分使用者了），然後用每個帳號迴圈著發表內容（由於發現這些帳號都在同一IP地址上，所以已經禁用了這個IP，但是只能管一時，過了幾天IP地址換了，又大批量的開始發了），搞的小弟頭疼啊。

大家有沒有對於惡意提交比較的建議，跪求指點迷津...

回複內容：

現在在完善網站的評論系統， 由於設計時是不想讓使用者輸入驗證碼的， 但是最近一段時間發現被惡意使用者惡意刷評論，我剛開始也是做了限制，例如使用者必須登入才能發表評論（前期是可以匿名評論的），關鍵詞過濾，IP地址過濾，垃圾評論檢測， 但是現在有的惡意使用者，為了刷那每天的50分，註冊了幾百個帳號（目前檢查出來的，已經禁止這部分使用者了），然後用每個帳號迴圈著發表內容（由於發現這些帳號都在同一IP地址上，所以已經禁用了這個IP，但是只能管一時，過了幾天IP地址換了，又大批量的開始發了），搞的小弟頭疼啊。

大家有沒有對於惡意提交比較的建議，跪求指點迷津...

根據我多年的防刷經驗，圖片驗證碼仍然是性價比最高的防刷手段。

即使通過註冊帳號來防刷，機器人自動註冊大量小號，然後你又需要在註冊那邊防刷，實際上是同一個問題。

如果可以不用自己的帳號，而是使用第三方帳號系統的話，會好一些，比如只允許新浪微博或者帳號驗證之後再提交，這樣的話，帳號防刷的問題實際上是拋給了新浪或者來解決。

回到圖片驗證碼的解決方式上，問題的核心在方便使用性上，這裡是存在改進餘地的。

比如，根據IP段，如果這個IP段之前沒有做過任何提交或提交次數小於n，允許無圖片校正碼直接提交，如果這個IP段之前產生過n次提交，就必須要圖片驗證碼。

IP段的提交次數可以放到緩衝計數器內，如果超過m秒，這個緩衝就失效。

如果你的使用者都是分散在不同的IP段上，實際上大量的使用者是不會被圖片驗證碼打擾到的。

這個方案無法抵抗持有大量代理的刷子，你只能通過減少n，增加m的方式來減少無效資料的產生。

可以試試極驗驗證

註冊門檻提高，可以用手機號做驗證，或者提交的時候用驗證碼等方式

在提交評論時，可以設定時間間隔

