nicht angemeldet
Spaminjection
Moin,
ich habe ein PHP-Formular erstellt. Alle Benutzereingaben landen ausschließlich im message-Paramter der PHP-Funktion mail. Ich habe mich ein bisschen mit E-Mail-Injection beschäftigt (u. a. http://securephp.damonkohler.com/index.php/Email_Injection) und komme zum Schluss, dass, solange ich Benutzereingaben ausschließlich über den message-Parameter übergebe, keine Gefahr besteht, eine Spamschleuder gebaut zu haben. Ist dies korrekt?
Claus
-
Hallo,
[...] und komme zum Schluss, dass, solange ich Benutzereingaben ausschließlich über den message-Parameter übergebe, keine Gefahr besteht, eine Spamschleuder gebaut zu haben. Ist dies korrekt?
Mit Vorbehalt: Ja.
Solange ungeprüfte Benutzereingaben nur im Body der eMail landen und nicht im Header, sollte es keine Probleme geben.
Dazu gehört aber auch
- kein subject
- kein From:
- kein reply-to:
- usw.Schau Dir die emails eines Standardclients nochmal an, damit Du weißt, was wo landet.
LG
Chris-
Danke Chris,
Claus
-