На странице сайта есть canvas, на котором пользователь выполняет некоторые работы с графикой и жмет "ОК". После нажатия на кнопку ок, base64 картинки canvas идет у форму, которая отправляется.

Собственно сейчас подумал а что если кто-то захочет "пошутить" и начнет отправлять по адресу формы base64-картинки пока не заполнит диск сервера, или не нагрузит его так что он и чихнуть не сможет?

Можно ли как-то обезопасить себя от подобных действий, без ущерба для юзабилити?

А если капчу прикрутить или ограничение/таймер по времени

Капча не удобна для пользователя, заказчик не захочет, только мозги зря будет вынимать "придумай что-то". Лучше уже ничего не говорить

Как насчет блокировки работы ип прокси(из этого, или другого списка http://webanetlabs.net/publ/24-1-0-752) + ограничение на привязку по ип. Не более 30 продуктов/час с 1 ип?

В том списке меньше 1тыс. строк. Это ничто.



Вариант 1
Можно добавить к форме скрытое поле с рандомным значением, которое хранить в сессии, а при отправке формы сравнивать полученное значение из формы со значением в сессии.
Просто, но слабо действенно. Примитивный парсер обойдёт это на ура.


Вариант 2
Аналогично первому, только с примесью и обфускацией js.
т.е. скрытое поле (или кука) устанавливается js-скриптом, который генерируется и обфусцируется php.
Тут уже нужен будет продвинутый парсер. Ну или правильно настроенный на спам браузер.

Вариант 3
CSS, генерируемый скриптом. Пусть будет создаваться несколько кнопок/форм. В стилях прописана видимость только одной из них (правильной кнопке). Пользователь не сможет нажать на какую-то другую, т.к. их не видно (это прописано в сгенерированных стилях).
С точки зрения спам-программы будет относительно трудно определить, где та самая верная кнопка или форма.
Опять же, обходится продвинутыми парсерами и браузерами.

Самый действенный вариант - капча, причём не просто картинка с текстом, а что-нибудь интерактивное.


Ну а от DOS средствами PHP не спастись

Спасибо)

netfilter/iptables