Как подключить гугл капчу на сайт php

Автоматические спам-боты активно сканируют веб-формы на сайтах, оставляя мусорные заявки и перегружая сервер. Чтобы минимизировать риски, Google предлагает инструмент – reCAPTCHA, который позволяет отличать реальных пользователей от программных агентов. Наиболее популярная версия – reCAPTCHA v2 («Я не робот»), а также более невидимая альтернатива – reCAPTCHA v3, основанная на анализе поведения пользователя.

Для интеграции reCAPTCHA с сайтом на PHP потребуется зарегистрировать сайт в Google reCAPTCHA Admin Console, получить site key и secret key. Эти ключи уникальны для каждого домена и версии reCAPTCHA. После регистрации можно приступать к добавлению виджета на клиентскую сторону и реализации проверки на сервере с помощью HTTP-запроса к API Google.

В клиентской части необходимо подключить JavaScript-библиотеку Google и встроить специальный HTML-элемент. Для v2 это тег <div class="g-recaptcha" data-sitekey="..."></div>. Для v3 нужно вызвать функцию grecaptcha.execute() с передачей ключа и действия. Серверная часть в PHP отправляет POST-запрос на https://www.google.com/recaptcha/api/siteverify с параметрами secret, response и, при необходимости, remoteip.

При обработке ответа важно не только проверять булево значение success, но и учитывать дополнительные параметры, например, score в reCAPTCHA v3. Значение ниже 0.5 может указывать на подозрительную активность, и в таких случаях стоит предусмотреть альтернативные меры защиты – например, временную блокировку формы или показ дополнительного вопроса.

Регистрация сайта в консоли Google reCAPTCHA

Перейдите на сайт https://www.google.com/recaptcha/admin и авторизуйтесь с помощью Google-аккаунта.

Нажмите кнопку «+» для добавления нового сайта. Укажите название проекта – оно нужно только для внутреннего ориентирования.

Выберите тип reCAPTCHA: v2 (с галочкой или невидимая) или v3 (оценка поведения пользователя). Для форм с явным подтверждением – используйте reCAPTCHA v2 с флажком. Для фоновой проверки без действий пользователя – v3.

В разделе «Домены» укажите все домены, на которых будет использоваться reCAPTCHA. Указывать нужно без протокола (например, example.com). Для локальной разработки добавьте localhost.

Примите условия использования API и подтвердите отправку формы. После этого появятся ключи: Site Key и Secret Key. Site Key размещается в HTML-коде, Secret Key – используется на сервере для валидации.

Сохраняйте ключи в безопасном месте. Не передавайте Secret Key на клиентскую сторону – это нарушает безопасность.

Выбор версии reCAPTCHA: v2 или v3 и их различия

reCAPTCHA v2 требует взаимодействия пользователя. Это может быть нажатие на чекбокс «Я не робот» или решение визуальной задачи. Она проста в интеграции и позволяет чётко отследить момент проверки, так как возвращает ответ только после действий пользователя. Подходит для форм с высокой вероятностью спама, например, регистраций и обратной связи.

reCAPTCHA v3 работает без взаимодействия. Система анализирует поведение пользователя на странице и возвращает оценку от 0.0 до 1.0, где более высокое значение означает большую вероятность, что перед нами человек. Для реализации требуется серверная логика, определяющая порог допустимого риска. Оптимальна для сайтов с высокой посещаемостью, где важно не мешать пользователю и требуется гибкий контроль.

Основные различия: v2 – дискретная проверка с видимым элементом, v3 – непрерывная оценка поведения без визуальных элементов. v2 проще в отладке и предсказуема, v3 требует настройки и логики интерпретации баллов. Для точечных форм лучше использовать v2. Для защиты всей сессии пользователя – v3.

Рекомендация: если важен пользовательский опыт и вы готовы реализовать динамическую обработку результатов – выбирайте v3. Если нужна проверка на этапе конкретного действия – v2 обеспечит надёжность с минимальной сложностью внедрения.

Получение ключей сайта и секрета

Перейдите на официальный сайт Google reCAPTCHA: https://www.google.com/recaptcha/admin. Для доступа требуется авторизация через аккаунт Google.

Нажмите кнопку «+» для регистрации нового сайта. Укажите произвольное название проекта – оно используется только для идентификации в консоли.

Выберите тип reCAPTCHA. Для классической формы используйте «reCAPTCHA v2» и активируйте опцию «Я не робот» (checkbox). Если требуется невидимая защита – выберите «Invisible reCAPTCHA badge». Для взаимодействия с JavaScript лучше подходит «reCAPTCHA v3».

В поле «Домены» введите адрес сайта без префикса http или https. Разрешены только домены второго уровня и выше. Для локальной разработки используйте localhost.

Отметьте согласие с условиями использования API и при необходимости включите получение уведомлений о подозрительном трафике.

После отправки формы вы получите два ключа: «Site Key» и «Secret Key». Первый используется на клиентской стороне для инициализации виджета. Второй – на сервере для валидации токенов. Не передавайте секретный ключ в браузер или публичный код.

Добавление HTML-кода reCAPTCHA в форму

Чтобы интегрировать Google reCAPTCHA v2 в форму на PHP-сайте, необходимо вставить специальный HTML-код, предоставляемый Google, непосредственно перед кнопкой отправки формы. После регистрации сайта в админ-панели reCAPTCHA вы получите ключи: site key и secret key. Для клиентской части используется только site key.

Пример HTML-разметки с подключённым виджетом reCAPTCHA:

<form action="submit.php" method="POST">
<label for="email">Email:</label>
<input type="email" name="email" id="email" required>
<div class="g-recaptcha" data-sitekey="ВАШ_SITE_KEY"></div>
<button type="submit">Отправить</button>
</form>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>

Атрибут data-sitekey должен содержать ваш индивидуальный ключ сайта. Без подключения скрипта https://www.google.com/recaptcha/api.js виджет не отобразится. Скрипт можно размещать внизу страницы или в <head>, при этом обязательно с параметрами async и defer для оптимальной загрузки.

Если используется несколько форм на одной странице, рекомендуется использовать параметр data-callback или режим invisible reCAPTCHA, чтобы избежать конфликтов при проверке.

Обработка ответа reCAPTCHA на сервере с использованием PHP

После отправки формы с reCAPTCHA, клиентский скрипт передаёт токен подтверждения на сервер через поле g-recaptcha-response. Этот токен необходимо проверить с помощью запроса к API Google.

Создайте POST-запрос на https://www.google.com/recaptcha/api/siteverify с параметрами:

• secret – секретный ключ, выданный Google;
• response – значение $_POST['g-recaptcha-response'];
• remoteip – IP-адрес пользователя (опционально, $_SERVER['REMOTE_ADDR']).

Пример кода на PHP:

$secret = 'ВАШ_СЕКРЕТНЫЙ_КЛЮЧ';
$response = $_POST['g-recaptcha-response'];
$remoteip = $_SERVER['REMOTE_ADDR'];
$verify = file_get_contents("https://www.google.com/recaptcha/api/siteverify?secret={$secret}&response={$response}&remoteip={$remoteip}");
$captcha_success = json_decode($verify);
if ($captcha_success->success) {
// CAPTCHA пройдена
} else {
// Ошибка CAPTCHA: возможные причины – истёк срок действия токена, попытка автоматической отправки, некорректный ключ
}

Не используйте file_get_contents при отключенном allow_url_fopen. В этом случае примените cURL:

$url = 'https://www.google.com/recaptcha/api/siteverify';
$data = [
'secret' => $secret,
'response' => $response,
'remoteip' => $remoteip
];
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, http_build_query($data));
$result = curl_exec($ch);
curl_close($ch);
$captcha_success = json_decode($result);

Проверяйте поле score при использовании reCAPTCHA v3. Рекомендуемый порог: 0.5. Также учитывайте поле action для дополнительной валидации намерений пользователя.

Проверка валидности reCAPTCHA перед выполнением действия

Перед выполнением важных действий на сайте, таких как отправка формы или выполнение транзакции, необходимо убедиться в том, что пользователь прошел проверку reCAPTCHA. Это защитит от автоматических запросов и спама. Чтобы гарантировать, что пользователь прошел проверку, необходимо выполнить проверку на сервере с помощью API Google reCAPTCHA.

Для начала, после того как пользователь отправит форму с reCAPTCHA, на сервер будет отправлен токен, который нужно проверить. Это можно сделать, отправив запрос на сервер Google, указав в нем секретный ключ и сам токен, полученный с формы.

Шаги проверки:

1. Получить ответ от клиента в виде токена reCAPTCHA.
2. Отправить POST-запрос на сервер Google по адресу https://www.google.com/recaptcha/api/siteverify с параметрами: secret (ваш секретный ключ) и response (токен от клиента).
3. Сервер Google вернет JSON-ответ, содержащий поле success, которое будет равно true, если проверка прошла успешно, или false, если проверка не пройдена.

Пример PHP-кода для отправки запроса на сервер Google:

$secret = 'ВАШ_СЕКРЕТНЫЙ_КЛЮЧ';
$response = $_POST['g-recaptcha-response'];
$remoteip = $_SERVER['REMOTE_ADDR'];
$verifyUrl = 'https://www.google.com/recaptcha/api/siteverify';
$responseData = file_get_contents($verifyUrl . '?secret=' . $secret . '&response=' . $response . '&remoteip=' . $remoteip);
$responseKeys = json_decode($responseData, true);
if(intval($responseKeys["success"]) !== 1) {
echo 'Ошибка проверки reCAPTCHA.';
} else {
echo 'Проверка пройдена успешно.';
}

После получения ответа от Google, важно правильно обработать его. Если success равен false, то следует информировать пользователя о неудачной проверке и предложить пройти reCAPTCHA снова. Если success равен true, то можно продолжить выполнение необходимого действия, например, обработку данных формы или транзакции.

Рекомендации:

• Не забывайте обрабатывать ошибки, связанные с недоступностью сервера Google, чтобы не нарушать работу сайта.
• Соблюдайте минимальные задержки между попытками, чтобы избежать блокировки IP-адреса за подозрительную активность.
• Используйте дополнительную проверку, чтобы предотвратить обход защиты с помощью прокси-серверов.

Тщательная проверка reCAPTCHA перед выполнением действия существенно повысит безопасность вашего сайта и предотвратит злоупотребления со стороны ботов.

Отладка и устранение распространённых ошибок при интеграции

При интеграции Google reCAPTCHA на сайт могут возникать различные ошибки, которые часто связаны с неправильной настройкой ключей, неверным использованием API или проблемами на сервере. Рассмотрим распространённые ошибки и способы их устранения.

1. Ошибка «Неверный ключ сайта» или «Invalid site key»

• Проверьте, что вы используете правильный ключ сайта (site key). Это тот ключ, который генерируется в консоли Google reCAPTCHA при регистрации вашего сайта. Убедитесь, что он скопирован без пробелов и лишних символов.
• Проверьте, что ключ действительно соответствует вашему домену. reCAPTCHA защищает сайты только с теми доменами, которые указаны при регистрации.

2. Ошибка «Неверный секретный ключ» или «Invalid secret key»

• Проверьте, что секретный ключ (secret key) верно скопирован и используется на серверной стороне. Неправильный или отсутствующий ключ приведёт к ошибке при проверке reCAPTCHA на сервере.
• Убедитесь, что вы не случайно использовали публичный ключ (site key) вместо секретного ключа в запросах к API.

3. Ошибка «reCAPTCHA не может быть проверена» или «reCAPTCHA verification failed»

• Убедитесь, что ваш сервер правильно подключен к API Google. Ошибки сети или неправильная конфигурация прокси-сервера могут препятствовать успешной проверке reCAPTCHA.
• Проверьте наличие правильных HTTP-заголовков и настроек для запроса к Google reCAPTCHA API. Ошибки в конфигурации прокси-сервера, блокировка исходящих запросов или проблемы с SSL-сертификатом могут вызывать такую ошибку.

4. Не отображается reCAPTCHA на сайте

• Проверьте, что на странице корректно подключены все необходимые скрипты. Убедитесь, что вызов скрипта Google reCAPTCHA в <head> или внизу страницы выполнен без ошибок.
• Убедитесь, что нет конфликтов с другими скриптами или библиотеками на странице, например, с jQuery. Иногда библиотеки могут перезаписывать или мешать функционалу reCAPTCHA.
• Если используете асинхронную загрузку скриптов, убедитесь, что reCAPTCHA загружается после загрузки всех зависимостей.

5. Не проходит проверку reCAPTCHA (ошибка «Проверка не пройдена»)

• Проверьте, что вы корректно отправляете ответ с reCAPTCHA на сервер для дальнейшей проверки. Ответ от reCAPTCHA должен быть отправлен в форме в поле, которое использует g-recaptcha-response.
• На сервере убедитесь, что вы отправляете POST-запрос на API Google с параметром secret и response, где response – это строка, полученная от reCAPTCHA на клиенте.
• Проверьте код на стороне сервера, который проверяет ответ через API Google, чтобы убедиться в правильности и актуальности ответа от reCAPTCHA.

6. Мобильные устройства: ошибка или отсутствие отображения reCAPTCHA

• Убедитесь, что используемая версия reCAPTCHA поддерживает мобильные устройства. Некоторые старые версии или неправильная интеграция могут не работать на мобильных браузерах.
• Проверьте, нет ли блокировщиков рекламы или других расширений в браузерах на мобильных устройствах, которые могут препятствовать загрузке reCAPTCHA.

7. Блокировка reCAPTCHA: «Too many requests»

• Google может заблокировать reCAPTCHA на некоторое время, если количество запросов с вашего сайта превысит допустимый лимит. Это может случиться при частых попытках автоматизированного заполнения форм.
• Проверьте количество запросов, которые отправляются на сервер Google, и убедитесь, что ваш сайт не генерирует слишком много запросов за короткий промежуток времени. Вы можете использовать ограничения скорости или кэширование на сервере для предотвращения таких ситуаций.

Для успешной интеграции Google reCAPTCHA важно внимательно следить за настройками, правильно обрабатывать ошибки и регулярно проверять обновления от Google для избегания устаревших версий. Эти шаги помогут минимизировать ошибки и обеспечат корректную работу защиты на вашем сайте.

Вопрос-ответ:

Что такое Google reCAPTCHA и для чего его подключают на сайт?

Google reCAPTCHA — это система защиты от ботов, которая помогает определить, является ли посетитель сайта человеком или автоматическим скриптом. Она предотвращает нежелательную активность, такую как спам в формах обратной связи, регистрационных формах или при отправке комментариев. Подключение reCAPTCHA помогает улучшить безопасность сайта, предотвращая атаки и снижая нагрузку на сервер.

Как подключить Google reCAPTCHA на сайт с PHP?

Для подключения Google reCAPTCHA на сайт с PHP нужно выполнить несколько шагов. Во-первых, необходимо зарегистрировать сайт на платформе reCAPTCHA через Google. После этого вы получите два ключа: публичный и секретный. Публичный ключ используется в HTML-форме для отображения reCAPTCHA, а секретный — для проверки данных на сервере. Далее, в форме сайта добавляется код для отображения reCAPTCHA, а на сервере с помощью PHP отправляется запрос на проверку с использованием секретного ключа. Ответ от reCAPTCHA нужно обработать и проверить, прошёл ли пользователь проверку.

Какие есть версии Google reCAPTCHA и чем они отличаются?

Существует несколько версий Google reCAPTCHA. На данный момент наиболее популярные это reCAPTCHA v2 и reCAPTCHA v3. В reCAPTCHA v2 пользователи должны выполнить простое задание, например, выбрать изображения с определённым объектом или подтвердить, что они не являются ботом, просто поставив галочку. В reCAPTCHA v3 же используется скрытая проверка, которая анализирует поведение пользователя на сайте, не требуя его активных действий. Это делает v3 более удобной для пользователей, но также требует более внимательной настройки на сервере.

Что делать, если reCAPTCHA не работает на сайте после установки?

Если reCAPTCHA не работает на сайте, возможных причин может быть несколько. Во-первых, стоит проверить правильность введённых ключей — публичного и секретного. Убедитесь, что они соответствуют версии reCAPTCHA, которую вы подключили. Также стоит проверить, корректно ли подключены все необходимые скрипты на стороне клиента. Нередко ошибки возникают из-за неправильных ссылок на JavaScript-библиотеки. Если всё верно, проверьте логи сервера на наличие ошибок, которые могут касаться подключения reCAPTCHA или обработки запросов.

Как проверить правильность работы Google reCAPTCHA на сервере с использованием PHP?

Для проверки правильности работы Google reCAPTCHA на сервере с использованием PHP нужно отправить POST-запрос на сервер Google с использованием секретного ключа и ответа пользователя. В ответе от Google будет содержаться информация о том, прошёл ли пользователь проверку. Пример кода для этого может выглядеть так: отправьте запрос на https://www.google.com/recaptcha/api/siteverify с параметрами secret (секретный ключ) и response (ответ от пользователя). Если результат будет «true», значит, пользователь прошёл проверку. В противном случае необходимо показать сообщение об ошибке.