ist der formmailer sicher?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • ist der formmailer sicher?

    Hallo zusammen,

    ich bin noch recht unerfahren und habe mir einen formmailer mittels php gebastelt. er funktioniert auch prima. ich kann die seite mit einem parameter aufrufen und eine bestimmte mailadresse wird vorausgewählt.
    meine frage ist folgende: ist der mailer sicher? da ich nicht so viel ahnung habe kann ich das leider nicht testen. ich habe gehört es dürften keine zeilenumbrüche im header zulässig sein. ausserdem möchte ich nicht, dass roboter die mailadressen auslesen können oder irgendwer über das formular mails an irgendjemanden schickt, der nicht von mir angegeben ist.
    ich hoffe jemand findet etwas zeit um das zu checken, wäre wirklich nett.
    also nochmal zusammengefasst: der code funktioniert so, wie er soll und ich möchte ihn eigentlich nicht ändern, lediglich die sicherheit kann ich nicht überprüfen und würde mich über eure meinung freuen.
    hier ist also der code:



    es grüßt
    der grunsch
    Zuletzt geändert von grunsch; 31.08.2006, 00:41.

  • #2
    1. error_reporting() hilft.
    2. keine post-daten im header!
    3. php_self im form-action-tag ist meistens nicht notwendig, ist aber eine beliebte problemquelle.
    4. auch sonst keine unverarbeiteten eingaben des users ausgeben (xss-anfällig).
    5. dein "zurücksetzen" button bedarf keiner eigenen form.
    6. ich bin mir nicht sicher, ob der code nach xhtml 1.0 strict valide ist, wie du angibst.

    Kommentar


    • #3
      danke für die schnelle antwort.

      ich muss leider gestehen, dass ich nicht alles verstehe, was du schreibst.
      zu 1. was meinst du damit?

      zu 2. ok. wie kann ich denn die daten im formular erhalten, falls der user falsche eingaben gemacht hat? wenn ich einen langen text in so ein formular tippe und dann den namen vergesse würde ich mich schwarz ärgern, wenn alles weg ist...

      zu3. wie ist eine alternative lösung?

      zu 4. was bedeutet xss anfällig? ähnlich wie problem 2 oder? gibt es da andere lösungen?

      zu5. ist das denn ein sicherheitsrisiko?

      zu 6. da hast du wahrscheinlich recht. habs mal flux rausgenommen danke.

      es grüßt
      der grunsch

      Kommentar


      • #4
        Du willst nicht
        PHP-Code:
        '\n\r'
        //sondern
        '\r\n'
        //und
        if (nl2br($wert) != $wert) die("Fehlerhafte Eingabe");
        //wirkt zuverlässiger. 

        Gruss

        tobi
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar


        • #5
          tobi - meinst du "\r\n"?

          1. google und das offizielle manual verraten alles - frag sie einfach: www.php.net/error_reporting

          2. darum geht es nicht. du sollst die eingabe prüfen (etwa wie jahlives es vorschlug), bevor du sie in den header der email einsetzst.

          3. dateinamen angeben?

          4. google und wikipedia fragen.

          5. denke nicht.

          6. besser wäre natürlich, validen code zu produzieren.

          Kommentar


          • #6
            tobi - meinst du "\r\n"?
            Der topicstarter suchte \n\r und ich meinte \r\n
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar


            • #7
              genau, ich meinte die anführungsstriche

              Kommentar


              • #8
                hmm,

                1.also wie mir das errorreporting helfen soll weiss ich leider immer noch nicht, aber egal.

                2. das ich die eingabe prüfen muss, weiss ich, drum schreibe ich ja hier. meine frage ist, ob ich das auch ausreichend tue. ich habe jetzt \r\n statt \n\r angegeben und in die zeile darunter den vorschlag von tobi aufgenommen. ist das ausreichend an überprüfung?

                3.ok. danke

                4.gut also was xss ist ist damit klar. aber wie unter 2 frage ich mich ob ich das getan habe. sollte ich tobis zeile auch auf den body der mail anwenden? meinst du das? ist dass dann als sicherheit ausreichend oder muss ich noch andere sachen überprüfen?

                es grüßt
                der grunsch

                Kommentar

                Lädt...
                X