Frank: Email Injection / Missbrauch von Formularen

SELF-Forum

Email Injection / Missbrauch von Formularen

Frank
Informationen zu den Bewertungsregeln

Hallo allezusammen,

dieses Thema kam in diesem Forum schonmal zur Sprache, nur eine einfache Frage, warscheinlich zu laienhaft :) wurde nie erwähnt.

ausgehend von der Struktur:
mail(empfänger, betreff, nachricht, kopfdaten)

Wenn letzendlich der Anwender nur die Möglichkeit hat den wert "nachricht" in einem Formular einzugeben, kann er das Formular dann immernoch durch Sonderzeichen austricksen und für Spam Missbrauchen?

bezüglich der Sonderzeichen beziehe ich mich auf folgenden Link:
http://securephp.damonkohler.com/index.php/Email_Injection

Der Artikel bezieht sich nur auf den 4. Parameter den Kopfdaten aber soweit ich nichts übersehen hab wird nicht gesagt das es nicht grundlegen mit den anderen 3 Parametern auch funktioniert.

Deshalb wollte ich nurmal auf Nummer sicher gehen und Leute fragen die sich hierbei 100% sicher wissen was Sache ist.

Danke und Gruß
Frank

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Email Injection / Missbrauch von Formularen

    Chris
    Informationen zu den Bewertungsregeln

    Hallo Du Einer,

    Wenn letzendlich der Anwender nur die Möglichkeit hat den wert "nachricht" in einem Formular einzugeben, kann er das Formular dann immernoch durch Sonderzeichen austricksen und für Spam missbrauchen?

    Unter den bisher bekannten Kriterien nicht.

    Solltest Du aber "Subject" wieder freigeben, bist Du wieder in der Diskussion!

    LG
    Chris

    Beitrag melden
    Informationen zu den Bewertungsregeln

  2. Email Injection / Missbrauch von Formularen

    dedlfix
    Informationen zu den Bewertungsregeln

    echo $begrüßung;

    ausgehend von der Struktur:
    mail(empfänger, betreff, nachricht, kopfdaten)

    Wenn letzendlich der Anwender nur die Möglichkeit hat den wert "nachricht" in einem Formular einzugeben, kann er das Formular dann immernoch durch Sonderzeichen austricksen und für Spam Missbrauchen?

    Man soll nie nie sagen, aber im Prinzip lässt sich "nachricht" nicht mehr für weiteres transportrelavante Dinge missbrauchen. Beim Zusammenstellen der Parameter zu einer Mail ist die Header-Bildung bereits abgeschlossen, wenn "nachricht" angefügt wird. Nach den Headern folgt eine Leerzeile und danach der Nachrichteninhalt, der nicht mehr als Header gewertet wird.

    Was der Client mit dem Nachrichtentext macht steht auf einem anderen Blatt...

    echo "$verabschiedung $name";

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Email Injection / Missbrauch von Formularen

      Frank
      Informationen zu den Bewertungsregeln

      Danke Chris & dedlfix

      Was der Client mit dem Nachrichtentext macht steht auf einem anderen Blatt...

      da hast du recht :)

      mir ist nur wichtig das nicht weitere Cc's und Bcc's angehängt werden können.

      MfG Frank

      Beitrag melden
      Informationen zu den Bewertungsregeln