Sicherheit bei mail() Funktion
Chriss
- php
0 Der Martin
0 Bobby
Hallo,
sich gegen Mail-Injection bei Kontaktformularen zu schützen ist unbestritten wichtig.
Wie sieht es aber mit anderen mail()
Funktionen innerhalb eines php-Scriptes aus, welche nicht unmittelbar einem Formular zugrunde liegen. Beispielsweise: *eine E-mail wird automatisiert gesendet, wenn ein bestimmtes Ereignis eingetreten ist,* um den Administrator zu informieren. Müssen auch diese mail()
Aufrufe geschützt werden?
MfG
Chriss
Hi,
sich gegen Mail-Injection bei Kontaktformularen zu schützen ist unbestritten wichtig.
ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.
Wie sieht es aber mit anderen
mail()
Funktionen innerhalb eines php-Scriptes aus, welche nicht unmittelbar einem Formular zugrunde liegen. Beispielsweise: *eine E-mail wird automatisiert gesendet, wenn ein bestimmtes Ereignis eingetreten ist,* um den Administrator zu informieren. Müssen auch diesemail()
Aufrufe geschützt werden?
Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles gut.
Ciao,
Martin
Moin
ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.
Er meinte Mail-Header-injection
Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles
Wenn die mails automatisch generierten Content enthalten, sollte man schon auf die üblichen sicherheitsbehandlungen nicht verzichten....
Gruß Bobby
Hallo,
ich weiß nicht, was du in diesem Fall mit Mail-Injection meinst - man sollte jedenfalls versuchen, einen Missbrauch oder eine Fehlfunktion durch Einschleusung unerwünschter Daten zu verhindern.
Er meinte Mail-Header-injection
ja gut, das ist mit wenigen Maßnahmen erledigt: Daten, die in Headerzeilen landen, dürfen keine Zeilenumbrüche enthalten, sinnvollerweise gar keine Steuerzeichen; wenn Zeichen außerhalb des ASCII-Bereichs auftreten, muss das ganze Feld passend codiert werden. Damit ist schon das meiste abgedeckt.
Wogegen? - Solange du als Autor/Programmierer genau darauf achtest, dass alle Daten (auch die, die du selbst produzierst) kontextgerecht codiert werden, ist ja alles
Wenn die mails automatisch generierten Content enthalten, sollte man schon auf die üblichen sicherheitsbehandlungen nicht verzichten....
Also kontextgerechte Codierung/Maskierung, sag ich doch.
Ciao,
Martin
Moin
ja gut, das ist mit wenigen Maßnahmen erledigt: Daten, die in Headerzeilen landen, dürfen keine Zeilenumbrüche enthalten, sinnvollerweise gar keine Steuerzeichen; wenn Zeichen außerhalb des ASCII-Bereichs auftreten, muss das ganze Feld passend codiert werden. Damit ist schon das meiste abgedeckt.
Und das ist WICHTIG!!!
Also kontextgerechte Codierung/Maskierung, sag ich doch.
Korrekt.... Und schon ist der op beantwortet... ;)
Gruß Bobby
Vielen Dank für eure Infos! Wieder was gelernt..
Schönen Abend
Chriss