PHP Formular Sicherheit – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self PHP Formular Sicherheit Sun, 01 Dec 13 16:18:18 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595987#m1595987 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595987#m1595987 <p>Hallo,</p> <p>habe im Netz folgendes simple Formular gefunden:</p> <pre><code class="block language-html"> <span class="token comment"><!-- send mail configuration --></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>input</span> <span class="token attr-name">type</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>hidden<span class="token punctuation">"</span></span> <span class="token attr-name">value</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>email@yourserver.com<span class="token punctuation">"</span></span> <span class="token attr-name">name</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>to<span class="token punctuation">"</span></span> <span class="token attr-name">id</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>to<span class="token punctuation">"</span></span> <span class="token punctuation">/></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>input</span> <span class="token attr-name">type</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>hidden<span class="token punctuation">"</span></span> <span class="token attr-name">value</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>Enter the subject here<span class="token punctuation">"</span></span> <span class="token attr-name">name</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>subject<span class="token punctuation">"</span></span> <span class="token attr-name">id</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>subject<span class="token punctuation">"</span></span> <span class="token punctuation">/></span></span> <span class="token tag"><span class="token tag"><span class="token punctuation"><</span>input</span> <span class="token attr-name">type</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>hidden<span class="token punctuation">"</span></span> <span class="token attr-name">value</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>send-mail.php<span class="token punctuation">"</span></span> <span class="token attr-name">name</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>sendMailUrl<span class="token punctuation">"</span></span> <span class="token attr-name">id</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>sendMailUrl<span class="token punctuation">"</span></span> <span class="token punctuation">/></span></span> <span class="token comment"><!-- ENDS send mail configuration --></span> </code></pre> <pre><code class="block language-php"><span class="token php language-php"><span class="token delimiter important"><?php</span> <span class="token comment">//vars </span> <span class="token variable">$subject</span> <span class="token operator">=</span> <span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'subject'</span><span class="token punctuation">]</span><span class="token punctuation">;</span> <span class="token variable">$to</span> <span class="token operator">=</span> <span class="token function">explode</span><span class="token punctuation">(</span><span class="token string single-quoted-string">','</span><span class="token punctuation">,</span> <span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'to'</span><span class="token punctuation">]</span> <span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token variable">$from</span> <span class="token operator">=</span> <span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'email'</span><span class="token punctuation">]</span><span class="token punctuation">;</span> <span class="token comment">//data </span> <span class="token variable">$msg</span> <span class="token operator">=</span> <span class="token string double-quoted-string">"NAME: "</span> <span class="token operator">.</span><span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'name'</span><span class="token punctuation">]</span> <span class="token operator">.</span><span class="token string double-quoted-string">"<br>\n"</span><span class="token punctuation">;</span> <span class="token variable">$msg</span> <span class="token operator">.=</span> <span class="token string double-quoted-string">"EMAIL: "</span> <span class="token operator">.</span><span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'email'</span><span class="token punctuation">]</span> <span class="token operator">.</span><span class="token string double-quoted-string">"<br>\n"</span><span class="token punctuation">;</span> <span class="token variable">$msg</span> <span class="token operator">.=</span> <span class="token string double-quoted-string">"WEBSITE: "</span> <span class="token operator">.</span><span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'web'</span><span class="token punctuation">]</span> <span class="token operator">.</span><span class="token string double-quoted-string">"<br>\n"</span><span class="token punctuation">;</span> <span class="token variable">$msg</span> <span class="token operator">.=</span> <span class="token string double-quoted-string">"COMMENTS: "</span> <span class="token operator">.</span><span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string single-quoted-string">'comments'</span><span class="token punctuation">]</span> <span class="token operator">.</span><span class="token string double-quoted-string">"<br>\n"</span><span class="token punctuation">;</span> <span class="token comment">//Headers </span> <span class="token variable">$headers</span> <span class="token operator">=</span> <span class="token string double-quoted-string">"MIME-Version: 1.0\r\n"</span><span class="token punctuation">;</span> <span class="token variable">$headers</span> <span class="token operator">.=</span> <span class="token string double-quoted-string">"Content-type: text/html; charset=UTF-8\r\n"</span><span class="token punctuation">;</span> <span class="token variable">$headers</span> <span class="token operator">.=</span> <span class="token string double-quoted-string">"From: <"</span><span class="token operator">.</span><span class="token variable">$from</span><span class="token operator">.</span> <span class="token string double-quoted-string">">"</span> <span class="token punctuation">;</span> <span class="token comment">//send for each mail </span> <span class="token keyword">foreach</span><span class="token punctuation">(</span><span class="token variable">$to</span> <span class="token keyword">as</span> <span class="token variable">$mail</span><span class="token punctuation">)</span><span class="token punctuation">{</span> <span class="token function">mail</span><span class="token punctuation">(</span><span class="token variable">$mail</span><span class="token punctuation">,</span> <span class="token variable">$subject</span><span class="token punctuation">,</span> <span class="token variable">$msg</span><span class="token punctuation">,</span> <span class="token variable">$headers</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token punctuation">}</span> <span class="token delimiter important">?></span></span> </code></pre> <p>Jetzt ist für mich die Frage, ist dieses Formular sicher, da die Mail Adresse in der html Datei sichtbar ist. Oder sollte man nicht irgendwie eine Variable mit überliefern, die dann in der PHP Datei geprüft wird *konfus*. Da mir aber letzteres nicht so ganz klar ist, hier meine Frage. Ein Profi wird vermutlich die Hände über den Kopf zusammenschlagen, aber mir ist nicht ganz klar, ob hier ein Sicherheitsrisiko besteht oder nicht.</p> Nachtrag Sun, 01 Dec 13 16:19:21 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596005#m1596005 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596005#m1596005 <p>Natürlich ist der obere Teil der html Teil,</p> <p>der untere ist dann der PHP Teil.</p> PHP Formular Sicherheit Sun, 01 Dec 13 16:31:52 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596002#m1596002 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596002#m1596002 <p>Mahlzeit,</p> <blockquote> <p>Jetzt ist für mich die Frage, ist dieses Formular sicher, da die Mail Adresse in der html Datei sichtbar ist.</p> </blockquote> <p>Das ist absolut sicher. Und war ist es sicher, dass sich jeder Spamversender freut, dass du ihm sowas zur Verfügung stellst.<br> Dasproblem ist nicht, dass du die mail im HTML hinterlegt hast, sondern dass du sie ungeprüft an die Mailfunktion weiterreichst.</p> <p>Damit kann ich per simplen POST-Request eine beliebige mail an beliebige Empfänger versenden.</p> <div class="signature">-- <br> 42 </div> Kontaktformular-Sicherheit Sun, 01 Dec 13 17:33:40 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595993#m1595993 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595993#m1595993 <blockquote> <p><!-- send mail configuration --><br> <input type="hidden" value="email@yourserver.com" name="to" id="to" /></p> </blockquote> <p>Hach, da werd' ich richtig nostalgisch. Wie lange ist das jetzt her mit dem berühmt-berüchtigten Perl-Kontaktformular, das, hundertausendfach heruntergeladen, zum ersten Mal großflächig mit genau diesem Fehler Spammern Tür und Tor geöffnet hat? 15 Jahre, 20 Jahre? War das ab <a href="http://www.scriptarchive.com/readme/formmail.html#history" rel="nofollow noopener noreferrer">1995</a> (siehe auch <a href="http://securitytracker.com/id/1001108" rel="nofollow noopener noreferrer">2001</a>)? Die Idioten sterben nicht aus :)</p> PHP Formular Sicherheit Sun, 01 Dec 13 19:07:09 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595992#m1595992 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595992#m1595992 <p>Om nah hoo pez nyeetz, - Johannes - !</p> <blockquote> <p>habe im Netz folgendes simple Formular gefunden:</p> </blockquote> <p>Nimm <a href="http://wiki.selfhtml.org/wiki/Artikel:Formmailer-Advanced" rel="nofollow noopener noreferrer">dies</a>.</p> <p>Matthias</p> <div class="signature">-- <br> Der Unterschied zwischen Java und JavaScript ist größer als der zwischen <a href="http://selfhtml.apsel-mv.de/java-javascript/index.php?buchstabe=E#erze" rel="nofollow noopener noreferrer">Erze und Erzeugnisse</a>.<br> <img src="http://www.billiger-im-urlaub.de/kreis_sw.gif" alt="" loading="lazy"><br> </div> PHP Formular Sicherheit Mon, 23 Dec 13 12:45:43 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595988#m1595988 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595988#m1595988 <p>Hallo,</p> <p>hierzu kannst Du auch ein Skript benutzen, welches Du auf folgender Seite findest: www.elite-formmailer.de .</p> <p>Habe diesen Formmailer selbst im Einsatz und bin sehr zufrieden.</p> <p>Gruß Alex</p> PHP Formular Sicherheit Mon, 23 Dec 13 18:49:25 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595989#m1595989 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595989#m1595989 <p>Mahlzeit,</p> <blockquote> <p>Habe diesen Formmailer selbst im Einsatz und bin sehr zufrieden.</p> </blockquote> <p>Kannst ja mal die URL hier posten, ich bin mir sicher, es gibt Leute die ne Spamschleuder wollen. Du bist der Traum der Spamwelt, wenn du dieses Script einsetzt.</p> <div class="signature">-- <br> 42 </div> PHP Formular Sicherheit Mon, 23 Dec 13 19:00:12 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595990#m1595990 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595990#m1595990 <p>Om nah hoo pez nyeetz, M.!</p> <blockquote> <p>Kannst ja mal die URL hier posten, ich bin mir sicher, es gibt Leute die ne Spamschleuder wollen. Du bist der Traum der Spamwelt, wenn du dieses Script einsetzt.</p> </blockquote> <p>Da du dir ja offensichtlich das Script angeschaut hast, wäre es schön, wenn du die Unzulänglichkeiten/Fehler konkret und sachlich benennst.</p> <p>Matthias</p> <div class="signature">-- <br> Der Unterschied zwischen Java und JavaScript ist größer als der zwischen <a href="http://selfhtml.apsel-mv.de/java-javascript/index.php?buchstabe=B#bus" rel="nofollow noopener noreferrer">Bus und Bussard</a>.<br> <img src="http://www.billiger-im-urlaub.de/kreis_sw.gif" alt="" loading="lazy"><br> </div> PHP Formular Sicherheit Mon, 23 Dec 13 19:04:50 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595991#m1595991 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595991#m1595991 <p>Mahlzeit,</p> <blockquote> <p>Da du dir ja offensichtlich das Script angeschaut hast, wäre es schön, wenn du die Unzulänglichkeiten/Fehler konkret und sachlich benennst.</p> </blockquote> <pre><code class="block language-php"> <span class="token variable">$email</span> <span class="token operator">=</span> <span class="token variable">$_POST</span><span class="token punctuation">[</span><span class="token string double-quoted-string">"email"</span><span class="token punctuation">]</span><span class="token punctuation">;</span> </code></pre> <pre><code class="block language-php"> <span class="token keyword">function</span> <span class="token function-definition function">pruefe_mail</span><span class="token punctuation">(</span><span class="token variable">$email</span><span class="token punctuation">)</span> <span class="token punctuation">{</span> <span class="token keyword">return</span> <span class="token function">eregi</span><span class="token punctuation">(</span><span class="token string double-quoted-string">"^[_a-z0-9-]([-_.]?[a-z0-9])*@[a-z0-9]([-_.]?[a-z0-9])+[.][a-z0-9]+$"</span><span class="token punctuation">,</span><span class="token variable">$email</span><span class="token punctuation">)</span><span class="token punctuation">;</span> <span class="token punctuation">}</span> </code></pre> <pre><code class="block language-php"> @<span class="token function">mail</span><span class="token punctuation">(</span><span class="token variable">$email</span><span class="token punctuation">,</span> <span class="token variable">$betreffkunde</span><span class="token punctuation">,</span> <span class="token variable">$kopie</span><span class="token punctuation">,</span> <span class="token string double-quoted-string">"From: "</span> <span class="token operator">.</span> <span class="token variable">$ihre_emailadresse</span><span class="token punctuation">)</span><span class="token punctuation">;</span> </code></pre> <p>$email ist die Adresse desjenigen, der den Formmailer ausfüllt und an dem eine Kopie der mail geschickt wird.<br> Somit kann ich als "eigene" mailadresse die Zieladresse angeben und damit an jedem ungeprüft jede mail versenden. Zusätzlich bekommt derjenige, der im Mailer als Empfänger angegeben ist,  jede Spammail.<br> Da die Mail nur auf Gültigkeit geprüft wird, kann dadurch jede, nach diesem Regex gültige, Mailadresse als Empfänger übergeben werden.</p> <div class="signature">-- <br> 42 </div> Kontaktformular-Sicherheit Sun, 01 Dec 13 18:33:09 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595994#m1595994 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595994#m1595994 <blockquote> <blockquote> <p><!-- send mail configuration --><br> <input type="hidden" value="email@yourserver.com" name="to" id="to" /></p> </blockquote> <p>Hach, da werd' ich richtig nostalgisch.</p> </blockquote> <p>Ja Moment, das Problem ist ja gelöst, wenn obige Zeile aus der html Datei entfernt wird und stattessen im PHP Quelltext da wo jetzt " to " steht entsprechend meine Mail Adresse eintrage...</p> Kontaktformular-Sicherheit Sun, 01 Dec 13 18:55:59 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595996#m1595996 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595996#m1595996 <p>Mahlzeit,</p> <blockquote> <p>Ja Moment, das Problem ist ja gelöst, wenn obige Zeile aus der html Datei entfernt wird und stattessen im PHP Quelltext da wo jetzt " to " steht entsprechend meine Mail Adresse eintrage...</p> </blockquote> <p>Klar, doch, wenn du nen mailer willst, der nur an dich Mails verschickt.<br> Wieso du dann im Code die Möglichkeit vorsiehst, an mehrere Mailadressen zu versenden, erschliesst sich mir nicht.</p> <p>Ich vermute mal, du hast absolut keine Ahnung von dem was du da machst und probierst jetzt solange rum, bis es irgendwie klappt. Und dadurch wirst du immer wieder Sicherheitslöcher einbauen, die du im schlimmsten Fall erst bemerkst, wenn du Post vom Anwalt hast.</p> <div class="signature">-- <br> 42 </div> Kontaktformular-Sicherheit Mon, 02 Dec 13 07:31:34 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595995#m1595995 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595995#m1595995 <blockquote> <blockquote> <blockquote> <p><!-- send mail configuration --><br> <input type="hidden" value="email@yourserver.com" name="to" id="to" /></p> </blockquote> <p>Hach, da werd' ich richtig nostalgisch.</p> </blockquote> <p>Ja Moment, das Problem ist ja gelöst, wenn obige Zeile aus der html Datei entfernt wird und stattessen im PHP Quelltext da wo jetzt " to " steht entsprechend meine Mail Adresse eintrage...</p> </blockquote> <p>Logisch, solange die Mail Adresse in der html Datei als Variable übergeben wird, lässt sich diese natürlich ändern. Wenn die Mail Adresse in der PHP Datei steckt, so natürlich nicht mehr.</p> <p>Also muß die Mail Adresse IN die PHP Datei und nicht in die HTML Datei !! Das ist soweit korrekt.</p> <p>Recherchiere auch in einer Suchmaschine nach Kontaktformular PHP, nehme dir etwas Zeit und dann wirst du es merken. Hoffentlich hast du dieses Formular so noch nicht im Einsatz.</p> Kontaktformular-Sicherheit Sun, 01 Dec 13 20:39:29 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595997#m1595997 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595997#m1595997 <blockquote> <blockquote> <p>Ja Moment, das Problem ist ja gelöst, wenn obige Zeile aus der html Datei entfernt wird und stattessen im PHP Quelltext da wo jetzt " to " steht entsprechend meine Mail Adresse eintrage...</p> </blockquote> </blockquote> <p>Natürlich. Ich find's nur drollig, dass nach über zehn Jahren immer noch so ein Mist im Netz verbreitet wird (nicht von dir, siehe unten). Einfach nicht auszurotten ..</p> <p>(Aber du darfst dir gerne dein Stotterschreib ab- und den Bindestrich angewöhnen.)</p> <blockquote> <p>Klar, doch, wenn du nen mailer willst, der nur an dich Mails verschickt.<br> Wieso du dann im Code die Möglichkeit vorsiehst, an mehrere Mailadressen zu versenden, erschliesst sich mir nicht.</p> </blockquote> <p>Na, nun mal sachte. Den Code hat er aus dem Netz gefischt und das Problem ist ihm sofort aufgefallen. Das darf gerne lobend honoriert werden, offenbar hat er ja als Anfänger zumindest mehr Gefühl für sowas als derjenige, der den Kram verbrochen hat.</p> Kontaktformular-Sicherheit Sun, 01 Dec 13 22:12:08 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595998#m1595998 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595998#m1595998 <p>Mahlzeit,</p> <blockquote> <p>(Aber du darfst dir gerne dein Stotterschreib ab- und den Bindestrich angewöhnen.)</p> </blockquote> <p>Was hat das mit mir zu tun?</p> <blockquote> <p>Na, nun mal sachte. Den Code hat er aus dem Netz gefischt und das Problem ist ihm sofort aufgefallen. Das darf gerne lobend honoriert werden, offenbar hat er ja als Anfänger zumindest mehr Gefühl für sowas als derjenige, der den Kram verbrochen hat.</p> </blockquote> <p>Was ist ihm aufgefallen?<br> Er fragte nach, ob das ganze unsicher ist. Somit hat er den Code überhaupt nicht verstanden und das tut er jetzt auch nicht.<br> Wenn du sowas honorieren willst, kriegt jemand, der den Code versteht den Nobelpreis?</p> <p>Wenn jemand nichtmal die Grundlagen versteht, ist eine solche Nachfrage im Forum grad mal akzeptierbar aber abolut nicht honorierbar.</p> <div class="signature">-- <br> 42 </div> Kontaktformular-Sicherheit Mon, 02 Dec 13 07:29:18 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596001#m1596001 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596001#m1596001 <p>Om nah hoo pez nyeetz, M.!</p> <blockquote> <p>Wenn jemand nichtmal die Grundlagen versteht, ist eine solche Nachfrage im Forum grad mal akzeptierbar aber abolut nicht honorierbar.</p> </blockquote> <p>Nein, es ist löblich.</p> <p>Matthias</p> <div class="signature">-- <br> Der Unterschied zwischen Java und JavaScript ist größer als der zwischen <a href="http://selfhtml.apsel-mv.de/java-javascript/index.php?buchstabe=D#digital" rel="nofollow noopener noreferrer">digital und Digitalis</a>.<br> <img src="http://www.billiger-im-urlaub.de/kreis_sw.gif" alt="" loading="lazy"><br> </div> Kontaktformular-Sicherheit Mon, 02 Dec 13 11:33:35 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595999#m1595999 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1595999#m1595999 <blockquote> <blockquote> <p>(Aber du darfst dir gerne dein Stotterschreib ab- und den Bindestrich angewöhnen.)</p> </blockquote> <p>Was hat das mit mir zu tun?</p> </blockquote> <p>Du solltest erstmal lernen, Zitatmarkierungen zu verstehen, bevor du dich in einem Forum über die angeblichen Verständnisprobleme anderer Leute echaufierst.</p> <blockquote> <blockquote> <p>Na, nun mal sachte. Den Code hat er aus dem Netz gefischt und das Problem ist ihm sofort aufgefallen.</p> </blockquote> </blockquote> <blockquote> <p>Was ist ihm aufgefallen?<br> Er fragte nach, ob das ganze unsicher ist. Somit hat er den Code überhaupt nicht verstanden</p> </blockquote> <p>Wenn er den Code "überhaupt nicht verstanden" hat, warum hat er dann genau das Problem genannt, das den Code unsicher macht? Wie kann er dann "überhaupt" darauf kommen, dass es mit dem Code ein Problem geben könnte? Wenn er überhaupt nicht verstanden hätte, was da passiert, hätte er den Code dann nicht eher 1:1 eingesetzt, ohne nachzufragen?</p> <p>Denk da mal drüber nach. Die Antwort darfst du dem hohen Ross, auf dem du hockst, in den Allerwertesten schieben.</p> <blockquote> <blockquote> <p>Das darf gerne lobend honoriert werden, offenbar hat er ja als Anfänger zumindest mehr Gefühl für sowas als derjenige, der den Kram verbrochen hat.</p> </blockquote> </blockquote> <blockquote> <p>Wenn du sowas honorieren willst, kriegt jemand, der den Code versteht den Nobelpreis?</p> <p>Wenn jemand nichtmal die Grundlagen versteht, ist eine solche Nachfrage im Forum grad mal akzeptierbar</p> </blockquote> <p>Hui, das ist wirklich gnädig von dir. Für jemanden wie dich, der die Weisheit offenbar im stillen Kämmerlein mit Löffeln gefressen und sich erst als unfehlbarer Experte der Öffentlichkeit präsentiert hat, ist es aber auch ein Zumutung, das andere ihm noch während ihres Lernprozesses unter die Augen treten.</p> Kontaktformular-Sicherheit Mon, 02 Dec 13 18:31:45 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596000#m1596000 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596000#m1596000 <p>Mahlzeit,</p> <blockquote> <p>Du solltest erstmal lernen, Zitatmarkierungen zu verstehen, bevor du dich in einem Forum über die angeblichen Verständnisprobleme anderer Leute echaufierst.</p> </blockquote> <p>Hast du noch nicht gemerkt, dass wir hier eine Baumstruktur haben?<br> Also erklär du mir nicht, was ich lernen soll, wenn du die Forenstruktur nicht verstehst!</p> <div class="signature">-- <br> 42 </div> PHP Formular Sicherheit Sun, 01 Dec 13 17:11:36 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596004#m1596004 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596004#m1596004 <p>Hallo,</p> <blockquote> <p>Das ist absolut sicher. Und war ist es sicher, dass sich jeder Spamversender freut, dass du ihm sowas zur Verfügung stellst.<br> Dasproblem ist nicht, dass du die mail im HTML hinterlegt hast, sondern dass du sie ungeprüft an die Mailfunktion weiterreichst.<br> Damit kann ich per simplen POST-Request eine beliebige mail an beliebige Empfänger versenden.</p> </blockquote> <p>und nicht nur das - ich kann auch noch Absender, Betreff, Nachrichtentext und bei Bedarf weitere Header frei von der Leber weg eintragen. Eine 1a-SPAM-Maschine.</p> <p>Von anderem Unsinn im Script (unnötiges Umkopieren von Variablen, Deklaration der Nachricht als HTML, obwohl nur Plaintext verschickt wird) wollen wir gar nicht reden. Aber Benutzereingaben ungeprüft weiterverarbeiten ist eine Todsünde.</p> <p>Ciao,<br>  Martin</p> <div class="signature">-- <br> Fische, die bellen, beißen nicht.<br> Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:( </div> PHP Formular Sicherheit Sun, 01 Dec 13 18:23:11 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596003#m1596003 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596003#m1596003 <p>Om nah hoo pez nyeetz, M.!</p> <p>wobei der HTML-Teil mit den hidden-Feldern durchaus auch ein spam-filter sein kann, nach dem Motto, wenn da was drin steht, wars ein Bot.</p> <p>Matthias</p> <div class="signature">-- <br> Der Unterschied zwischen Java und JavaScript ist größer als der zwischen <a href="http://selfhtml.apsel-mv.de/java-javascript/index.php?buchstabe=T#torte" rel="nofollow noopener noreferrer">Torte und Tortellini</a>.<br> <img src="http://www.billiger-im-urlaub.de/kreis_sw.gif" alt="" loading="lazy"><br> </div> Nachtrag Mon, 02 Dec 13 08:28:09 Z https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596006#m1596006 https://forum.selfhtml.org/self/2013/dec/1/php-formular-sicherheit/1596006#m1596006 <p>hi,</p> <blockquote> <p>Natürlich ist der obere Teil der html Teil,</p> <p>der untere ist dann der PHP Teil.</p> </blockquote> <p>Diese Art der Trennung ist gut. Falls Du später mal objektorientiert arbeiten solltest, betrachte eine Response-Seite als Objekt mit Attributen. Da wäre z.B. die E-Mailadresse ein Attribut und alle Attribute sind so gekapselt, dass sie nach außen hin nicht sichtbar sind.</p> <p>D.h., ist die Response-Seite ein Kontaktformular, wird beim Senden das interne Attribut Email verwendet und das muss nicht in GET oder POST erscheinen, und auch nicht im Quelltext.</p> <p>Horst Hackenheimer</p>