Moin,

da ich noch beim Bau der Seite bin, habe ich die Seite tatsächlich per Upload an den Validator geschickt.

Wenn wir schon dabei sind ... Wo platziere ich nach aktuellem Stand, den PHP-Code? Im <header> oder direkt vor dem <form> oder an ganz anderer Stelle?

Gruß Heiko

Moin,

wo muss ich denn htmlspecialchars() einsetzen? Für jeden Variablen Wert den ich aus dem Formular empfange?

Gruß Heiko

Moin,

das mit dem htmlspecialchars() hat man mir gerade schon geschrieben und jetzt weiß ich auch wo hin damit.

Der Betreff sollte in der IF-Klausel gar nicht mehr drinstehen (Kopierfehler).

Auch ist die Abfrage als solches falsch, denn wenn die $message leer ist, dann soll die Mail natürlich nicht versandt werden.

Gruß Heiko

Moin,

wenn ich <?=htmlspecialchars( $_SERVER[PHP_SELF]); ?> einsetze, dann erhalte ich diese Meldung:

Error: Bad value <?=htmlspecialchars( $_SERVER[PHP_SELF]); ?> for attribute action on element form: Illegal character in path segment: < is not allowed.

From line 46, column 6; to line 47, column 32

*/↩	↩					<form name="kontaktFormular" method="post" action="<?=htmlspecialchars( $_SERVER[PHP_SELF]); ?>" ↩    onSubmit="return isValid()">↩					

Hallo,

Frage, ist dieser PHP-Script jetzt so richtig:

<?php
			$betreff = "LUG - Anfrage vom Kontaktformular";
			$nachricht = $_POST["message"];
			$empfaenger="max.musterman@musterseite.de";
			if(($nachricht!='')&&($email!='')
				mail($empfaenger, $betreff, $vname, $nname, $email, $message, $send);
		?>

auf gar keinen Fall.

Langsam kommen mir da Zweifel, wenn ich mir das auf verschiedenen Seiten so anschaue.

Aus gutem Grund. Du übergibst 7 Parameter an mail(), die Funktion erwartet aber nur maximal 4: Empfänger, Betreff, die Nachricht an sich, und optional zusätzliche Header.

Live long and pros healthy,
 Martin

Frage, ist dieser PHP-Script jetzt so richtig:

<?php
			$betreff = "LUG - Anfrage vom Kontaktformular";
			$nachricht = $_POST["message"];
			$empfaenger="max.musterman@musterseite.de";
			if(($nachricht!='')&&($email!='')
				mail($empfaenger, $betreff, $vname, $nname, $email, $message, $send);
		?>

Falsch ist (mindestens):

mail($empfaenger, $betreff, $vname, $nname, $email, $message, $send);

Im Einzelnen:

• Die die Werte/Parameter für mail sind grundsätzlich falsch. → Handbuch

• Wenn Du UTF-8-kodierte Strings übergibts, dann wäre wenn schon mb_sendmail() der Kandidat der Wahl. → Handbuch

• Du besetzt die Variable $nachricht und versendest $message. Was in $vname, $nname, $email, $message, $send steht ist völlig unklar und die gehören da auch nicht hin.

Hi,

Das ich so etwas gemacht habe, ist schon lange her.

Ich vermute eher, du hast sowas noch nie gemacht.

Vielleicht fragt er ja deshalb hier?

Es wäre einfacher, auf das Kontaktformular zu verzichten und stattdessen im Impressum der Seite eine Mail-Adresse als Kontaktmöglichkeit anzugeben. Ein Kontaktformular ist nur Ziel für Angreifer, du musst dich selbst um die Sicherheit kümmern. Bei einer Mail-Adresse kann der Spam bereits durch den Provider herausgefiltert werden.

Eigensinniger Rat! :-(

Wenn er den Medienbruch vermeiden will, ist ein Kontaktformular durchaus der richtige Weg.

Wenn kein (eigener) Mailclient zur Verfügung steht, wäre dies einer von mehreren guten Gründen dafür. Das wäre z.B. im Internetlokal und von fremden Geräten der Fall. Man kann einen Emailkontakt aber gerne zusätzlich anbieten.

Und wie man technisches Spamming durch Kontaktformulare vermeidet, wurde in diesem Forum imho oft genug diskutiert (nicht durch Captchas, aber das wäre der Suchbegriff fürs Archiv).

Manuell verfassten inhaltlichen Spam kann man mit etwas mehr Aufwand auch verhindern; der kommt aber selten vor.

Grüße
me-too

Hallo Kralle,

**Ich möchte mich an dieser Stelle erst einmal für die vielen Informationen und Eure Geduld bedanken. **Ich wollte das eigentlich bei jedem einzeln mittels des Buttons "Positiv Bewerten" unter den Beiträgen machen, aber die scheinen nicht zu funktionieren.

Du brauchst mindestens 50 Punkte, um einen Beitrag positiv bewerten zu können.

<?php
			/* Daten aus dem Formular Variablen zuweisen */
			$vorname = $_POST["vname"];
			$nachname = $_POST["nname"];
			$email = $_POST["email"];
			$nachricht = $_POST["message"];

Das Umkopieren ist nicht notwendig. Benutzereingaben 1:1 zu übernehmen und ohne Kontrolle weiterzuleiten, ist möglicherweise gefährlich.

			if(($nachricht != '')&&($email != ''))

Diese Überprüfung kannst du doch schon ganz am Anfang vornehmen. Was passiert eigentlich wenn meine E-Mail lautet?

Bis demnächst
Matthias

Hallo,

**Ich möchte mich an dieser Stelle erst einmal für die vielen Informationen und Eure Geduld bedanken. **Ich wollte das eigentlich bei jedem einzeln mittels des Buttons "Positiv Bewerten" unter den Beiträgen machen, aber die scheinen nicht zu funktionieren.

du darfst andere Beiträge voten, wenn du a) registriert bist (das ist ja offensichtlich der Fall) und b) selbst mindestens 50 Punkte auf dem Konto hast (das entspricht 5 Gut-Votes).

Da ich keinen Zugriff auf die Server-Logfiles habe, kann ich leider auch nicht sehen, was es für eine Meldung gibt, wenn ich das Formular abschicke.

Hä?

<?php
			/* Empänger der Nachricht (bei mehreren Empfängrn diese durch Komma trennen */
			$empfaenger = "test@peitschende-wei.de";
			$betreff = "LUG - Anfrage vom Kontaktformular";
			/* Daten aus dem Formular Variablen zuweisen */
			$vorname = $_POST["vname"];
			$nachname = $_POST["nname"];
			$email = $_POST["email"];
			$nachricht = $_POST["message"];

Das stumpfe Umkopieren der Daten ist nach wie vor sinnlos.

			/* Auf 70 Zeichen pro Zeile begrenzen */
			$nachricht = wordwrap($nachricht, 70, "\r\n");
			/* Ein formatierte E-Mail daraus machen */
			$message .= 'Moin, ' . "\r\n";

Entscheide dich bitte: $nachricht oder $message.

			$message .= $vname . ' '. $nname . 'möchte folgendes wissen/fragen/mitteilen' . "\r\n";
			$message .= $nachricht . "\r\n";
			$message .= '  ' . "\r\n";
			$message .= 'Antwort bitte an: ' . $email . "\r\n";									
			/* header zusammen bauen */
			$header .= 'From:' . $email . "\r\n";

Halt! $header ist bis hierher noch gar nicht definiert. Die Erstzuweisung darf nicht mit dem Operator .= erfolgen.

			$header .= 'Replay-To:' . $email . "\r\n";
			$header .= "Content-type: text/plain; charset=UTF-8 \r\n";

Und hier baust du ungeprüft die vom Besucher eingegebene Mailadresse ein. Okay, die Mail geht vermutlich nur an dich oder einen LUG-Admin, trotzdem sollte man das nicht machen. Da kann jeder Dreck drinstehen! So baust du eine Spamschleuder. Stell dir vor, jemand gibt als Mailadresse folgendes ein:

me@example.org\r\ncc: donald.duck@waltdisney.com

Ja, das Beispiel ist lächerlich; es soll nur das Prinzip zeigen.

Wenn ja, dann scheint sendmail auf dem Server nicht aktiv zu sein

Dann würde der Aufruf von mail() ein false zurückgeben. Das prüfst du aber gar nicht.

Live long and pros healthy,
 Martin