Schutz vor Spamversand - geht,s auch einfacher?

Einklappen
X
Einklappen
 
  • Seite von 3
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 3 template Weiter
  • #31
    Zitat von onemorenerd Beitrag anzeigen
    Na wenn du dich mit regulären Ausdrücken nicht so richtig auskennst, dann geht es auch so:
    PHP-Code:
    $input $_POST['email'] . $_POST['subject'];
    if (    strpos($input"\n") !== false || strpos($input"\r") !== false
    || stripos($input'%0a') !== false || stripos($input'%0d') !== false) {
        exit();

    Oh - danke...

    Für PHP4 nehme ich dann nur strpos() - wird bestens funktionieren denke ich

    Grüsse
    Cosinus

    *join*

    Zitat von AmicaNoctis Beitrag anzeigen
    @cosinus: Warum das urldecode?
    @onemornerd: Wieso nach %0d und %0a testen? Entweder begreife ich es nicht, wie URL-Escape-Sequenzen schädlich sein können oder es ist einfach überflüssig, die abzutesten.
    ... damit aus '%0a' '\n' wird?

    Grüsse
    Cosinus
    Zuletzt geändert von AmicaNoctis; 05.05.2010, 00:50. Grund: Doppelposting
    Wer mein jemand zu sein,
    hört auf jemand zu werden...!

    Kommentar

    • #32
      Zitat von cosinus Beitrag anzeigen
      ... damit aus '%0a' '\n' wird?
      Aber wo, wie, warum und wann sollte das denn passieren? PHP macht das schon selber und es komm bereits als \n an, man müsste %25%0a posten, damit PHP es zu %0a decodiert, aber was hätte das für ein Gefahrenpotenzial in einem E-Mail-Header?
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Kommentar

      • #33
        Eigentlich bräuchte man nur \r\n suchen. Aber Mailserver rangieren gleich hinter Browsern was die eigenmächtige "Korrektur der Eingabe" angeht.
        Die Expansion von \n zu \r\n hat es sogar ins PHP-Manual geschafft.
        Die Interpretation von Hexcodes ist mir bisher noch nicht untergekommen, aber Vorsicht ist besser als Nachricht.

        Kommentar

        • #34
          Zitat von onemorenerd Beitrag anzeigen
          Aber Mailserver rangieren gleich hinter Browsern was die eigenmächtige "Korrektur der Eingabe" angeht.
          Die Expansion von \n zu \r\n hat es sogar ins PHP-Manual geschafft.
          Das hat ja nichts mit dem Mailserver zu tun, sondern mit der Implementation von sendmail und der Tatsache, dass UNIX nun mal nur LF als Zeilenumbruch benutzt.

          Zitat von onemorenerd Beitrag anzeigen
          Die Interpretation von Hexcodes ist mir bisher noch nicht untergekommen, aber Vorsicht ist besser als Nachricht.
          Ich seh da trotzdem keinen Sinn drin. Hexcodes für Zeilenumbrüche könnte man genausogut als 0x0a, \0a, #0a, $0a angeben und die könnten theoretisch blödsinnigerweise von einem Mailserver interpretiert werden, aber die Chance ist genauso niedrig wie bei %0a. Warum aber wird das als böses Zeichen besonders behandelt? Das ergibt keinen Sinn.
          [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
          Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
          Super, danke!
          [/COLOR]

          Kommentar

          Vorherige 1 2 3 template Weiter
          Lädt...
          X