Hallo,

Die dritte Methode (Datenbank) hat das schlechteste Aufwand-Nutzen-Verhältnis. Und birgt die Gefahr, dass das Datenbank-Passwort dann ebenso schlecht abgelegt wird, wie gesehen.

ich habe auch schon Hoster gesehen, die für den Datenbankzugriff gar kein Passwort verlangen, weil aufgrund der geltenden Routing- und Firewall-Regeln der Zugriff sowieso nur von localhost kommen kann, und der darf ja immer.
Eine typische Schönwetterphilosophie.

Mein Favorit: „Verstecken von Passwörtern in einer Include-Datei, die außerhalb des Documentroot liegt“

Hört sich gut an. Selbst wenn durch irgendeinen abstrusen Serverfehler mal PHP-Code ungeparst rausgeht, ist das Passwort nicht gleich mit drin.

Einen schönen Tag noch
 Martin

require_once( '/Verzeichnis/ausserhalb/Document_root/.ht_db_data' );

„reguire_once“ sieht zwar sehr ähnlich aus führt aber nur zu einem Syntax-Error...

Hallo,

jetzt habe ich die vielen Beiträgen zum Thema Passwort gelesen und "bin > Im Übrigen würde ich stark dazu neigen,

} catch (Exception $e) {
    echo "Mail konnte nicht versandt werden. Mailer Error: {$mail->ErrorInfo}";
}

ebenfalls durch etwas wie

} catch( Exception $e ) {
     echo 'Sorry: Nachricht kann nicht verschickt werden. Mehr im Error-log.';
     ini_set( 'display_errors', 0 );
     trigger_error( $e, E_USER_ERROR );
}

zu ersetzen um einen Angreifer nicht notlos über den Grund des Scheiterns zu informieren.

Was bewirkt ini_set( 'display_errors', 0 );
trigger_error( $e, E_USER_ERROR );

Dann hätte ich noch den Rat, sicherheitsrelevantes Zeug nicht selbst zu programmieren so lange Du nicht wenigstens mit den Grundbegriffen der Sprache (hier PHP) und der gesamten Technik vertraut bist (Webserver, User-Agent,...).

Wenn ich mich darauf verlassen kann, kompetente Vorschläge zu erhalten, traue ich mir die Realisierung zu.

@@Raketenwilli

reguire_once( '/Verzeichnis/ausserhalb/Document_root/.ht_db_data' );

Jerry, bist du es?

Hi,

• Der Name der Datei beginnt mit „.ht“ damit nicht gleich alles schief geht wenn jemand nicht weiß, was '/Verzeichnis/ausserhalb/Document_root/' bedeutet. Weißt Du es?

Den Satz verstehe ich nicht.

• Der Name der Datei beginnt mit „.ht“ damit nicht gleich alles schief geht

Was kann schiefgehen?

/Verzeichnis/ausserhalb/Document_root/

Ja, was ist das?
Ich kann doch meine Seiten nur in das Document_root und darin liegende Verzeichnisse speichern.

Da mail() auf dem Webserver offenbar ging (sonst könntest Du Dich nicht über die Erkennung als „Junk“ beschweren) sollte der PHP-Mailer auch mit dem, auf dem Webserver laufenden und vom Hoster offensichtlich korrekt konfiguriertem sendmail funktionieren:

<?php
use PHPMailer\PHPMailer\PHPMailer;
// use PHPMailer\PHPMailer\SMTP;
use PHPMailer\PHPMailer\Exception;

// Klasse(n) laden
require __DIR__ . '/PHPMailer/src/Exception.php';
require __DIR__ . '/PHPMailer/src/PHPMailer.php';
// require 'path/to/PHPMailer/src/SMTP.php';

//Create an instance; passing `true` enables exceptions
$mail = new PHPMailer(true);


try {
    $mail->isSendmail();
    $mail->ContentType = PHPMailer::CONTENT_TYPE_PLAINTEXT;
    $mail->CharSet   = 'UTF-8';
    $mail->Encoding  = 'base64';
    ### Beachte den Hinweis unten: 
    $mail->setFrom( 'user@host', 'Mein Name' );
    ###
    $mail->addReplyTo( 'user@host', 'Mein Name' );
    $mail->addAddress( 'user@host', 'Mein Name' );
    $mail->Subject = 'Test mit PHPMailer via sendmail';
    $mail->Body = "Hallo!\r\nDas ist nur ein Test.";
    $mail->send();
} catch ( phpmailerException $e ) {
     echo "Das Mail konnte nicht verschickt werden. Der Admin wurde benachrichtigt.";
     trigger_error( $mail->ErrorInfo,   E_USER_NOTICE );
     trigger_error( $e->errorMessage(), E_USER_ERROR );
}
?>
Fertig.

Das Problem mit der Spamerkennung und Deine weiteren Probleme mit der Konfiguration kann niemand für Dich lösen, da deren Ursachen ja geheim sind.

Womöglich (wahrscheinlich) kannst Du diese Zeile nicht mit beliebigem Inhalt verwenden, weil womöglich/regelmäßig Dein Hoster dort etwas einsetzt oder bestimmte Werte erwartet:

$mail->setFrom( 'von_wem@example.com', 'Vorname Nachname' );

• Sollte diese Zeile also Probleme machen, dann weiß der Kundendienst des Hosters die Antwort.
• Wichtig: Das wird auf Deiner Windows-Kiste mit XAMPP vorhersehbar NICHT funktionieren, denn ich denke, dass Du Mercurry Mail auch nicht richtig eingerichtet hast.
• Das obige Skript hat soeben mit korrekten Werten funktioniert: „user@host“ sowie „Mein Name“ müssen natürlich ordentlich drin stehen.
• Das Mail kam auf meinem Google-Account sauber an, es wurde nicht als Spam/Junk eingestuft.
• __DIR__

Egal welcher Hoster, egal wie. Die SMTP-Verbindung und den Versand auf die Kette zu bekommen, kann fisselig sein. Dir bleibt nichts über, als alle mögliche Variationen (das können viele werden) durchzuspielen, bis es passt. Protokolle, Ports... Clients wie z.B. Thunderbird machen das auch nicht anders.

Lieber Jasper,

Gerhard hat schon herausgefunden, dass da noch eine dieser beiden Zeilen wichtig ist:

const ENCRYPTION_STARTTLS = 'tls';
const ENCRYPTION_SMTPS = 'ssl';

Das bedeutet aber, dass man anstelle einer erst selbst zu definierenden Konstante (warum ist die nicht schon von vornherein definiert...?) auch das hier schreiben könnte:

$mail->SMTPSecure = 'ssl'; // oder 'tls'

Liebe Grüße

Felix Riesterer