Chriss: Sicherheit bei mail() Funktion

SELF-Forum

Sicherheit bei mail() Funktion

Chriss
Informationen zu den Bewertungsregeln

Hallo,

sich gegen Mail-Injection bei Kontaktformularen zu schützen ist unbestritten wichtig.
Wie sieht es aber mit anderen mail() Funktionen innerhalb eines php-Scriptes aus, welche nicht unmittelbar einem Formular zugrunde liegen. Beispielsweise: *eine E-mail wird automatisiert gesendet, wenn ein bestimmtes Ereignis eingetreten ist,* um den Administrator zu informieren. Müssen auch diese mail() Aufrufe geschützt werden?

MfG
Chriss

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Sicherheit bei mail() Funktion

    Der Martin
    Informationen zu den Bewertungsregeln

    Hi,

    sich gegen Mail-Injection bei Kontaktformularen zu schützen ist unbestritten wichtig.

    ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.

    Wie sieht es aber mit anderen mail() Funktionen innerhalb eines php-Scriptes aus, welche nicht unmittelbar einem Formular zugrunde liegen. Beispielsweise: *eine E-mail wird automatisiert gesendet, wenn ein bestimmtes Ereignis eingetreten ist,* um den Administrator zu informieren. Müssen auch diese mail() Aufrufe geschützt werden?

    Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles gut.

    Ciao,
     Martin

    --
    F: Was sagt die kleine Kerze zur großen Kerze?
    A: Ich gehe heute nacht aus!
    Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Sicherheit bei mail() Funktion

      Bobby
      Informationen zu den Bewertungsregeln

      Moin

      ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.

      Er meinte Mail-Header-injection

      Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles

      Wenn die mails automatisch generierten Content enthalten, sollte man schon auf die üblichen sicherheitsbehandlungen nicht verzichten....

      Gruß Bobby

      --
      -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
      ### Henry L. Mencken ###
      -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
      ## Viktor Frankl ###
      ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Sicherheit bei mail() Funktion

        Der Martin
        Informationen zu den Bewertungsregeln

        Hallo,

        ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.
        Er meinte Mail-Header-injection

        ja gut, das ist mit wenigen Maßnahmen erledigt: Daten, die in Headerzeilen landen, dürfen keine Zeilenumbrüche enthalten, sinnvollerweise gar keine Steuerzeichen; wenn Zeichen außerhalb des ASCII-Bereichs auftreten, muss das ganze Feld passend codiert werden. Damit ist schon das meiste abgedeckt.

        Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles
        Wenn die mails automatisch generierten Content enthalten, sollte man schon auf die üblichen sicherheitsbehandlungen nicht verzichten....

        Also kontextgerechte Codierung/Maskierung, sag ich doch.

        Ciao,
         Martin

        --
        Time's an illusion. Lunchtime doubly so.
          (Douglas Adams, "The Hitchhiker's Guide To The Galaxy")
        Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(
        Beitrag melden
        Informationen zu den Bewertungsregeln

        1. Sicherheit bei mail() Funktion

          Bobby
          Informationen zu den Bewertungsregeln

          Moin

          ja gut, das ist mit wenigen Maßnahmen erledigt: Daten, die in Headerzeilen landen, dürfen keine Zeilenumbrüche enthalten, sinnvollerweise gar keine Steuerzeichen; wenn Zeichen außerhalb des ASCII-Bereichs auftreten, muss das ganze Feld passend codiert werden. Damit ist schon das meiste abgedeckt.

          Und das ist WICHTIG!!!

          Also kontextgerechte Codierung/Maskierung, sag ich doch.

          Korrekt.... Und schon ist der op beantwortet... ;)

          Gruß Bobby

          --
          -> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
          ### Henry L. Mencken ###
          -> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
          ## Viktor Frankl ###
          ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
          Beitrag melden
          Informationen zu den Bewertungsregeln

          1. Sicherheit bei mail() Funktion

            Chriss
            Informationen zu den Bewertungsregeln

            Vielen Dank für eure Infos! Wieder was gelernt..

            Schönen Abend
            Chriss

            Beitrag melden
            Informationen zu den Bewertungsregeln