我这个模板是适合800分辨率的。所以看代码可能来这里看比较直观一点。
http://www.4ngel.net/blog/angel/archives/?article-118.html

目前来说，防范trackback垃圾已经迫在眉睫，因为到现在为止。很多BLOG只做了一些评论的过滤，要防范评论垃圾信息很简单，但是防范Trackback spam却不能象评论那样，因为Trackback来自其他的BLOG，所以很多内容都是不可以确定的，比如按照其他链接出现次数，和垃圾词汇进行过滤，是不可能的，不然我收集一些网站，或者是骂点人。都有可能不能通过别人的BLOG检查。所以我根据Trackback Spam的特征，想出了一套比较可行的办法。采用分数制度，给接收来的Trackback数据，进行评分操作。最后决定数据处理办法。懒得组织语言说了。贴出我和BO-BLOG作者BOB的部分聊天记录。

相信大家看了应该都知道是怎么防御这个Trackback Spam了。具体代码是怎么实现的呢？下面就是目前sablog-x所使用的代码：

// 检查Spam

// 定义发送来的此条Trackback初始分数

$point = 0;

$options['tb_spam_level'] = in_array($options['tb_spam_level'], array('strong', 'weak', 'never')) ? $options['tb_spam_level'] : 'weak';

if ($options['audit_trackback']) {

     //如果人工审核

     $visible = '0';

} elseif ($options['tb_spam_level'] != 'never') {

     $source_content = '';

     if (!empty($url)) {

          $source_content = fopen_url($url);

          $this_server = str_replace(array('www.', 'http://'), '', $_SERVER['HTTP_HOST']);

          //获取接受来的url原代码和本服务器的hostname

     }

     if (empty($source_content)) {

          //没有获得原代码就-1分

          $point -= 1;

     } else {

          if (strpos(strtolower($source_content), strtolower($this_server)) !== FALSE) {

               //对比链接，如果原代码中包含本站的hostname就+1分，这个未必成立

               $point += 1;

          }

          if (strpos(strtolower($source_content), strtolower($title)) !== FALSE) {

               //对比标题，如果原代码中包含发送来的title就+1分，这个基本可以成立

               $point += 1;

          }

          if (strpos(strtolower($source_content), strtolower($excerpt)) !== FALSE) {

               //对比内容，如果原代码中包含发送来的excerpt就+1分，这个由于标签或者其他原因，未必成立

               $point += 1;

          }

     }

     $interval = ($options['tb_spam_level'] == 'strong') ? '30' : '60';

     //根据防范强度设置时间间隔，强的话在30内发现有同一IP发送。弱的话就是60秒内发现有同一IP发送.

     $query = $DB->query("SELECT trackbackid FROM ".$db_prefix."trackbacks WHERE ipaddress='".getip()."' AND dateline+".$interval.">='".time()."'");

     $tatol = $DB->num_rows($query);

     //在单位时间内发送的次数

     if ($tatol > 0) {

          //如果发现在单位时间内同一IP发送次数大于0就扣一分，人工有这么快发送trackback的吗？

          $point -= 1;

     }



     $query = $DB->query("SELECT trackbackid FROM ".$db_prefix."trackbacks WHERE REPLACE(LCASE(url),'www.','')='".str_replace('www.','',strtolower($url))."'");

     $tatol = $DB->num_rows($query);

     //对比数据库中的url和接收来的

     if ($tatol > 0) {

          //如果发现有相同，扣一分。

          $point -= 1;

     }



     if ($options['tb_spam_level'] == 'strong') {

          //高强度防范

          $query = $DB->query("SELECT title,ipaddress,articleid FROM ".$db_prefix."trackbacks WHERE ipaddress='".getip()."' OR articleid='".$articleid."'");

          //搜索数据库内发送此trackback来本站的IP和文章ID

          while ($trackback = $DB->fetch_array($query)) {

               if ($trackback['title'] == $title && $trackback['ipaddress'] == getip()) {

                    //如果数据库内的title和接收来的title一样，IP也一样，视为重复发送。就减1分。

                    $point -= 1;

               }

               if ($trackback['ipaddress'] == getip() && $trackback['articleid'] == $articleid) {

                    //如果数据库内的articleid和接收来的articleid一样，IP也一样，视为重复发送。就减1分。

                    $point -= 1;

               }

          }

          // 防范强:最终分数少于1分就CUT！

          $visible = (($point < 1) ? '0' : '1');

     } else {

          // 防范弱:最终分数少于0分才CUT！

          $visible = (($point < 0) ? '0' : '1');

     }

} else {

     $visible = '1';

}

// 检查Spam完毕

上次和O-BLOG作者风色提起过，可是不经常看他上QQ，目前通过大量测试。。已经证实可以起到防御的作用。希望有各位看了我的文章，可以提出自己的看法，互相交流。继续共同提高。呵呵。

要拍砖的，尽管来，没有刺激，哪有膨胀，没有压力，哪有动力，没有反馈，哪有更好？

18日中午想到的，还可以多加一条判断就是拿接收到的$url参数和数据库内的对比，如果存在了，再扣一分！

有不少人问我，为什么后台的首页文件不用index.php而用admincp.php？多麻烦啊。其实我没有用index.php是有准备的。通常要了解一个网站的结构。探测目录也是收集目标网站信息的手段之一。可以让攻击者知道有什么目录。根据目录命名大概判断目录里存放的是哪一类文件。

所以我在几个重要目录里，放了一个index.php文件。文件内容:

<?php
header('HTTP/1.1 404 Not Found');
?>
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL <?php echo dirname($_SERVER["SCRIPT_NAME"]);?> was not found on this server.<P>
<HR>
<ADDRESS>Web Server at <?php echo $_SERVER["SERVER_NAME"];?> Port <?php echo $_SERVER["SERVER_PORT"];?></ADDRESS>
</BODY></HTML>

很多扫描器都是通过HTTP协议标头信息判断，所以我发送一个404，就表示目录或文件都不存在。我用扫描器扫描WEB路径，看看扫描于震的BLOG就把所有目录都扫描出来了。而扫描我的。只扫描出几个没有放上面的代码的目录。

这样，如果不手工去判断，或者更好的设置扫描器。就很难判断出admin、include这些目录是否存在。安全，需要从每一个细小的环节做起。呵呵。这下大家知道为什么我后台不用index.php作为首页了吧。

启用了独特的trackback Spam防范机制。一共经过5步处理，如果是高强度防范，则经过6步处理。每一步都是决定信息去处的关键。感谢国际村的sadly帮忙测试，他用他的程序给我发送Trackback Spam，系统成功拦截。并且有记录。

欢迎大家继续测试。如果是正常从各位的BLOG发送过来的。应该是接收没有什么问题的。后台可以设置防范等级。欢迎发送各种Trackback spam来这篇文章。其他的文章希望各位大哥大姐手下留情。

根据后台的记录，发现 59.42.188.xx 的朋友在11日晚上9:20-9:30这段时间发送了10多条Trackback过来。成功拦截了10多条，有2条系统认为是正常的。特别感谢这位朋友的热心测试。

感谢小麟哥 - Fighting!的手工测试！如果不介意，请再手工发送几十条过来看看。

12日凌晨4点把所有垃圾或者测试的Trackback清除，最新加入了人工发送的判断。各位如果愿意花5分钟，继续疯狂轰炸这篇文章。让我好不断改善。杜绝各种垃圾信息！谢谢各位啦！！！

再次感谢221.235.207.xx，（59.35.10.xx，59.35.49.xx，59.35.36.xx），221.12.110.xx 这3位朋友的热心测试。后台记录了共30多条来自这几个IP发送的测试数据。

最近发现有人利用trackback功能发广告。我觉得没什么说的。也懒得打字了。

sadly搞的Trackback垃圾，很多人说这个人不怎么样，说发这些怎么怎么不对，站在网络安全角度来说。sadly是好样的。我们发现漏洞，如果不发布出来。只有导致更加多的人受害。只有公布了以后。不管白与黑。技术都会有提高。不知道sadly能不能看到我的文章。但是不管多少人骂你发Trackback垃圾，但是作为网络安全技术人员。我支持你。呵呵。

我们搞安全的知道一个定律，道高一尺，魔高一丈。如果按照BO-BLOG的方法，在URL加特殊字符串，如果软件读取HTML代码，分析出那段特殊字符串，一样可以发送垃圾。只要是文本。要分析出来可以在1秒或者2秒之内。呵呵。图片验证？算了吧。

我看。还是用评论防止垃圾的办法。自己判断设置属性为隐藏吧。。再到后台按照IP清理吧。

通常总认为静态页面执行速度快且不费资源，很多大型网站都将最终页面生成静态的，可是从.php技术说它本身支持多种级别的缓存，而且很多种模板支持缓存，就速度来说。已经不是什么急需解决的难题，而且和html静态页面的速度可以说没有区别。还有必要生成静态的么？

单用户的博客系统不同于各种CMS，大流量，服务器完全可以承受，除非那种查询很多的博客，基于数据库的WEB程序非常多，竞争造成了静态页面的流行。对于那些死的不变的系统，批量生成html页面确实是不错的技术，大大提高网站的稳定性、降低负载。可以减少SQL服务器的负荷。我觉得模拟静态和真正的静态没有什么区别。没有必要用那么一大堆文件。和那么多代码代替几行模拟静态的代码。而且后期维护也麻烦。改动一次还要写一次文件，就安全角度来说，多一个可写目录。多一个保存后门的地方。

至于为了搜索引擎而优化，这个其实是误传。看搜索引擎列出的页面，asp、cgi、php、aspx的什么都有，并不时只有html的。搜索引擎看的是内容（例如一些关键head中的标记），要根据所有引擎的算法不断修改产生的页面的内容。即使不模拟出静态页面，也照样可以搜索得到。比如：

http://www.baidu.com/baidu?word=%C2%DB%CE%C4%CC%E1%B8%D9&tn=myie2dg

上面的关键词，就是“论文提纲”，搜索出来的就是Sablog程序。排行第一。照样不是静态文件，不是html结尾。所以说静态文件和非静态的，对搜索引擎没有什么影响。

还不知道有什么理由还要做静态生成？