nicht angemeldet
eMail sicher über ein Formular verschicken ?
Hallo,
bei SELFPHP habe ich ein Script gefunden, was es mir ermöglicht über ein Formular eine Mail zu erstellen und per PHP zu versenden.
Nun ist das ja sehr einfach gehalten und bei meiner Suche hier im Forum bin ich immerwieder auf solche Ausdrücke gestoßen wie:
"Das ist zu unsicher ... man kann es infizieren"
Nun denk ich mal, dass damit gemeint ist, dass man das Formular manupulieren könnte oder, dass die Daten unsicher versendet werden.
Da ich kaum Ahnung von PHP habe mein Frage:
Was muss man alles beachten, um ein eMail-Script halbwegs sicher zu machen ?
Danke
Frank Fischer
-
Hallo,
Da ich kaum Ahnung von PHP habe mein Frage:
Was muss man alles beachten, um ein eMail-Script halbwegs sicher zu machen ?Ganz allgemein: einem Mailerscript-CGI (egal in welcher Sprache es geschrieben wurde) darf den Empfänger nicht als Parameter übergeben werden können -> ansonsten kann ein solches Script zum SPAM missbraucht werden.
Workaround: Empfänger im Script fest eingetragen.
Gruss, Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?-
hi,
Workaround: Empfänger im Script fest eingetragen.
oder, falls das script mehrere empfänger bedienen können soll:
empfänger über eine ID festlegen, die dann erst serverseitig in eine emailadresse umgeschlüsselt wird (z.b. aus einem array, aus einer tabelle, etc.).
gruss,
wahsaga-
hi,
Workaround: Empfänger im Script fest eingetragen.
oder, falls das script mehrere empfänger bedienen können soll:
empfänger über eine ID festlegen, die dann erst serverseitig in eine emailadresse umgeschlüsselt wird (z.b. aus einem array, aus einer tabelle, etc.).
Jo, das ist auch ne gute Idee!
%rcpt = (
1, 'erwin@...',
2, 'otto@...',
);Gruss, Erwin
--
SELFforum - Das Tor zur Welt!
Theoretiker: Wie kommt das Kupfer in die Leitung?
Praktiker: Wie kommt der Strom in die Leitung?
-
-
-
Hallo,
bei SELFPHP habe ich ein Script gefunden, was es mir ermöglicht über ein Formular eine Mail zu erstellen und per PHP zu versenden.
Nun ist das ja sehr einfach gehalten und bei meiner Suche hier im Forum bin ich immerwieder auf solche Ausdrücke gestoßen wie:
"Das ist zu unsicher ... man kann es infizieren"
Da ich kaum Ahnung von PHP habe mein Frage:
Was muss man alles beachten, um ein eMail-Script halbwegs sicher zu machen ?Meinst du das Beispielformular zur mail() Funktion (http://www.selfphp.info/funktionsreferenz/mail_funktionen/mail.php#beispiel1)? Du könntest in einem Formularfeld, wo der Empfänger steht mehrere Emailadressen, durch Komma getrennt, angeben und schon hätte man eine perfekte Spam-Maschine, man muss nur noch heraus bekommen, dass spitze Klammern verwendet werden. Ansonsten noch wichtig:
Von welchem Script wird der Mailer aufgerufen? Ich könnte dann z.B. ein eigenes Formular zu Hause ausfüllen, in dem statt eines einzeiligen ein mehrzeiliges Formularfeld verwendet wird (falls Adressen durch Newlines getrennt werden, keine Ahnung).
POST als Übertragungsmethode verwenden, Zugriff per $_POST
Kein register_globals, das heißt, wenn es ein Feld mit dem Namen an gibt, dann sollte der Zugriff auf $an nicht klappen, mit $_POST['an'] aber schon.
Inhalt der Variablen prüfen, z.B. sollte kein \n vorkommen.
Mehr fällt mir erst einmal nicht ein
Danke
Frank FischerBitte,
Robert