如何有效的防止网站被恶意注册？

最近正好在斗spammer，有一些体会，不一定是技术上的。
防止恶意基本的方法：

• 邮箱需要验证
• 单IP注册频率限制
• 表单加验证码
• 需要姓名加身份证认证
• 手机绑定验证

但是所谓是药三分毒，这样下来，你的产品注册流程也就会让人抓狂，用户和产品经理想必都是无法接受的。下面说一些技术上的方案：

• 在注册页面添加随机码，并将这个码随注册post表单一起提交（基本上让它必须先抓页面再提表单）
• 在注册页面中埋资源，比如添加一个img 标签，src地址其实是一个动态脚本，会进行访问日志记录。在提交注册post表单时，如果当前ip没有请求过这个动态脚本，那么就是机器人。这个img标签可以定时换，比如明天换成另一个地址或者放在一个script标签里面，甚至是让一段js去触发请求。
• IP钓鱼，很多spammer的IP资源都不太丰富，所以基本上是一大堆IP做代理。于是出现了这个方法。在进行完上一条说的的埋资源方法后，聪明的spammer通常会快速进化出变种，在后续的请求会聪明地先请求这个脚本再post表单。一旦spammer发现这个策略，你就可以反其道而行。将这个动态脚本从页面中去掉，这时候正常用户就访问不到了，但是spammer可能还不知道。他们会继续访问这个已经没有入口的脚本，于是你可以改造这个脚本的功能，变成一个垃圾IP收集器，收集到的IP直接封若干时间。这个方法还是挺有效的。

其实方法有还很多，包括用户名判断，邮箱白名单等等。但是真正要挡住攻击还是很难，道高一尺魔高一丈。
所以这里并不是要讲具体的方法，而是想说，spammer也是人，而且是有直接商业目的的。你的网站不会是唯一可攻击的山头，如果你提高门槛，跟他斗个十天半月，当他发现你这个地方投入产出比过高，老是需要投入人力搞对抗，基本上也就不会在这浪费时间了。这不是纯的技术斗争，更多的是带着成本考虑的工程较量。所以目的是如何搞疲它，赶走它，而不是栏住它。