Sicherheitslücke Emailversand

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheitslücke Emailversand

    Hallo,

    ich habe folgende Funktion, die ich beim Versand von Newsletter einsetze.

    $admin_email = $HTTP_POST_VARS['admin_email'];
    $header="From:$server<$admin_email>\nContent-Type:text/html";
    mail($email,"Vielen Dank für Ihre Bestellung!",$bestellung_auslesen,$header);

    Kann es sein, dass hier eine Sicherheitslücke vorliegt? Wenn ja, wie kann ich diese schließen?


    Gruss
    Benji

  • #2
    Hi,

    wieso sollte da eine Sicherheitslücke sein?


    PS. Ab PHP 4.1.0 sollte man $_POST benutzen nicht $HTTP_POST_VARS. Sollte is vielleicht etwas übertrieben.. :P
    gruss Chris

    [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

    Kommentar


    • #3
      Vielen Dank für deine Antwort.

      Ich möchte nur verhindern, dass fremde mit meinen Namen Newsletter versendet. Wie kann ich das verhindern?


      Gruss
      Benji

      Kommentar


      • #4
        Indem du noch prüfst woher die POST Daten stammen.

        z.B

        PHP-Code:
        if ($_SERVER["HTTP_REFERER"] == "http://deine.domain.de/deinscript.php")
        {
           
        mail();
        }
        else
        {
           echo 
        "Nicht erlaubt";

        gruss Chris

        [color=blue]Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."[/color]

        Kommentar


        • #5
          Referercheck unterscheidet, ob die Daten ins Formular eingegeben oder von einem Bot gesendet wurden.
          Er unterscheidet nicht, ob du selbst oder ein Fremder das Formular ausgefüllt hat.
          Entweder du schützt die Formularseite vor unbefugtem Zugriff oder erweiterst das Formular um ein Passwortfeld.

          Kommentar


          • #6
            An beide Strategen ... das alles wiederspricht dem Grundsatz "Never trust incomming data!" ... Sowohl Absender als auch Referer kann man (auch via bot) faken ... zwar kann man über diesen Mailer keine eigenen EMails versenden ... aber wer Dir schaden will, der bastelt Dir so ganz fix mal 'ne Spam Attacke !
            carpe noctem

            [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
            [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

            Kommentar


            • #7
              Referrer ist scheiße, da nicht immer vorhanden und wenn doch, nicht immer wahr.

              "Vielen Dank für Ihre Bestellung" ist ein merkwürdiger Betreff für einen Newsletter...

              Warum arbeitest du nicht mit Sessions?
              Nur wenn in der Session ein bestimmter Wert steht, wird die Formulareingabe akzeptiert und versendet.
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar


              • #8
                Vielen Dank für eure zahlreichen Antworten. Werde das script mit Sessions absichern.


                Gruss
                Benji

                Kommentar

                Lädt...
                X