後來在討論中 Jace 提到，其實 SESSION 是有可能被機器人知道的；所以我後來綜合了 fillano 提供的演算法概念，稍微改良了一下之前的 NoSpamNX class。利用隨機產生的隱藏欄位順序，用不同的演算法再對隱藏欄位的數值作編碼；讓 SESSION 內存的未編碼的值，與 POST 過來的已編碼的值不一樣。最後再將 SESSION 內存的值編碼，與 POST 的已編碼的值作比較，判斷留言的使用者是不是機器人。

SESSION 紀錄的值是未編碼的值，但在產生隱藏欄位時，input 的值是已經編碼過後的值

/**
 * 建立隱藏欄位 HTML；利用隱藏欄位先後順序不同，使用 md5 or sha1 編碼
 * 
 */
public function addHiddenFields()
{
    $nospamnx = $_SESSION[$this->_sessionName];

    if (1 === rand(1,2)) {
        return '<input type="text" name="nospamnx['.$nospamnx['nospamnx-1'].']" value="" class="locktross" /><input type="text" name="nospamnx['.$nospamnx['nospamnx-2'].']" value="'.md5($nospamnx['nospamnx-2-value']).'" class="locktross" />';
    } else {
        return '<input type="text" name="nospamnx['.$nospamnx['nospamnx-2'].']" value="'.sha1($nospamnx['nospamnx-2-value']).'" class="locktross" /><input type="text" name="nospamnx['.$nospamnx['nospamnx-1'].']" value="" class="locktross" />';
    }
}

驗證時根據 POST 過來的 nospamnx 順序不同，以不同的演算法編碼後再做比較

// 根據 POST 過來的值順序不同，以 md5 or sha1 判斷
if ($nospamnx['nospamnx-1'] == current(array_keys($postData))) {
    $encode_value = md5($nospamnx['nospamnx-2-value']);
} else {
    $encode_value = sha1($nospamnx['nospamnx-2-value']);
}
if ($postData[$nospamnx['nospamnx-2']] != $encode_value) {
    return false;
}

最後提供範例程式下載，分為一般 POST 與 AJAX 二種方式。

首先要在網頁的最上面先開啟 SESSION，並建立 NoSpamNX 物件，同時寫入 SESSION，產生 HTML 碼

// 啟動 SESSION
session_start();
 
// 載入 NoSpamNX class
include_once('NoSpamNX.php');
// 建立物件時可以指定 SESSION 的名稱，或不輸入使用預設值
$noSpamNX = new NoSpamNX('test_for_NoSpamNX');
 
// 產生隨機順序的隱藏欄位
$hidden_fields_for_NoSpamNX = $noSpamNX->addHiddenFields();

將 HTML 碼嵌入表單中

echo $hidden_fields_for_NoSpamNX;

在送出表單後，根據：

1. 檢查 POST 過來的資料中，是否有 'nospamnx-1' 產生的 MD5 Name；不存在=機器人
2. 檢查 POST 過來的 'nospamnx-1' MD5 Name，其值是否為零；不為零=機器人
3. 檢查 POST 過來的資料中，是否有 'nospamnx-2' 產生的 MD5 Name；不存在=機器人
4. 檢查 POST 過來的 'nospamnx-2' MD5 Name，其值是否為 SESSION 中 'nospamnx-2' MD5 Value；不相等=機器人

每次通過檢查後就會清空 SESSION，所以每一個留言所使用的隱藏驗證碼都是不一樣的。

距離之前介紹 NoSpamNX，已經有一段時間；而作者在新版加入了選擇性的 HTTP referrer 判斷。不過因為難免會造成誤判的情況，以及程式寫起來有點醜（誤）等種種原因，所以並沒有放在這次的 class 裡面。

最後關於範例程式下載，請參考《[分享] 垃圾留言判斷，隱藏驗證碼的 NoSpamNX class PART2》。

然而因為部落格的興起，訊息交流的便利，一些我們不需要的廣告與垃圾留言就開始充斥在部落格中；各個部落格平台無不絞盡腦汁，使出各種招數，跟這些沒有生命的廣告機器人大鬥法，因此演生出 CAPTCHA 這種辨識機器人與真人的驗證碼模式。但是「道高一呎，魔高一丈」，很快的新的廣告機器人學會了如何識別簡單的驗證碼，導致後期的驗證碼愈來愈希奇古怪；弄得廣告機器人沒阻擋成功，一般真正想要參予討論，交流經驗的使用者，看到這些五花八門的驗證碼後反而打起退堂鼓。這不是因噎廢食嗎？

WordPress 這個廣受歡迎而且開放原始碼的部落格平台，當然也有碰到廣告機器人肆虐的問題；同時他也知道 CAPTCHA 對使用者造成的不便。所以廣大網海中的許多前輩們（鄉民？）就為他開發了許多便利的外掛程式。其中 NoSpamNX 就是一種不需要透過 CAPTCHA，卻同樣達到有效阻擋廣告機器人的外掛程式！

NoSpamNX 其實就是 Yawasp 的最新版，之前曾經因為 Neo 的介紹而研究過這一個外掛程式。Yawasp 主要的運作方式，是透過動態更換留言樣表單中，輸入框的欄位名稱，讓廣告機器人找不到固定的欄位填值，使其無法成功留言。不過因為這個外掛程式會修改到留言樣版的原始碼，可能會造成某些非官方的樣板模組發生問題，所以作者在改版成 NoSpamNX 後，採用另外一種方式；在留言區塊的 </textarea> 之後，增加二個隱藏欄位，名稱與值皆使用 MD5 編碼，同時故意將其中一個欄位的數值留空（因為廣告機器人通常會將所有欄位值填滿），當作判斷時的陷阱；這二個欄位的順序也會隨機更換。

經過以下五個步驟判斷，準確辨識是否為廣告機器人；同時將疑似廣告機器人的 IP，加入黑名單中：

1. 檢查 ip 是否在黑名單中；在黑名單中=機器人
2. 檢查 POST 過來的資料中，是否有 'nospamnx-1' 產生的 MD5 Name；不存在=機器人
3. 檢查 POST 過來的 'nospamnx-1' MD5 Name，其值是否為零；不為零=機器人
4. 檢查 POST 過來的資料中，是否有 'nospamnx-2' 產生的 MD5 Name；不存在=機器人
5. 檢查 POST 過來的 'nospamnx-2' MD5 Name，其值是否為 'nospamnx-2' MD5 Value；不相等=機器人

如此一來，就可以達到不使用 CAPTCHA，同時又能辨識廣告機器人的目的，雖然對於「真人」的廣告、垃圾留言發送還是無法百分之百的排除，不過應該可以阻擋大部分的無生命機器人。適當的利用各種外掛程式，就可以得到乾淨的版面，與友善的使用者輸入介面，真的要感謝熱心的網路上的前輩們囉！

參考資料：NoSpamNX 阻擋SPAM機器人與廣告、垃圾留言（WordPress外掛）