| PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Post your PHP questions here! |
 |
04-11-2005, 08:22
|
|
Benji
Senior Member
|
|
Registriert seit: Jun 2003
Beiträge: 574
|
|
Sicherheitslücke Emailversand
Hallo,
ich habe folgende Funktion, die ich beim Versand von Newsletter einsetze.
$admin_email = $HTTP_POST_VARS['admin_email'];
$header="From:$server<$admin_email>\nContent-Type:text/html";
mail($email,"Vielen Dank für Ihre Bestellung!",$bestellung_auslesen,$header);
Kann es sein, dass hier eine Sicherheitslücke vorliegt? Wenn ja, wie kann ich diese schließen?
Gruss
Benji
|
04-11-2005, 08:27
|
|
hhcm
PHP Senior
|
|
Registriert seit: Jun 2005
Ort: Viersen, NRW
Beiträge: 1.829
|
|
Hi,
wieso sollte da eine Sicherheitslücke sein?
PS. Ab PHP 4.1.0 sollte man $_POST benutzen nicht $HTTP_POST_VARS. Sollte is vielleicht etwas übertrieben.. :P
__________________
gruss Chris
Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."
|
04-11-2005, 08:30
|
|
Benji
Senior Member
|
|
Registriert seit: Jun 2003
Beiträge: 574
|
|
Vielen Dank für deine Antwort.
Ich möchte nur verhindern, dass fremde mit meinen Namen Newsletter versendet. Wie kann ich das verhindern?
Gruss
Benji
|
04-11-2005, 09:13
|
|
hhcm
PHP Senior
|
|
Registriert seit: Jun 2005
Ort: Viersen, NRW
Beiträge: 1.829
|
|
Indem du noch prüfst woher die POST Daten stammen.
z.B
PHP-Code:
if ($_SERVER["HTTP_REFERER"] == "http://deine.domain.de/deinscript.php")
{
mail();
}
else
{
echo "Nicht erlaubt";
}
__________________
gruss Chris
Derjenige, der sagt: "Es geht nicht", soll den nicht stoeren, der's gerade tut."
|
04-11-2005, 09:29
|
 |
onemorenerd
 Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.481
|
|
Referercheck unterscheidet, ob die Daten ins Formular eingegeben oder von einem Bot gesendet wurden.
Er unterscheidet nicht, ob du selbst oder ein Fremder das Formular ausgefüllt hat.
Entweder du schützt die Formularseite vor unbefugtem Zugriff oder erweiterst das Formular um ein Passwortfeld.
|
04-11-2005, 09:34
|
goth
Moderator
|
|
Registriert seit: Mar 2002
Ort: Erde
Beiträge: 7.242
|
|
An beide Strategen ... das alles wiederspricht dem Grundsatz "Never trust incomming data!" ... Sowohl Absender als auch Referer kann man (auch via bot) faken ... zwar kann man über diesen Mailer keine eigenen EMails versenden ... aber wer Dir schaden will, der bastelt Dir so ganz fix mal 'ne Spam Attacke !
__________________
carpe noctem
Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht!
Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung!
http://www.mysqldiff.org
|
04-11-2005, 09:37
|
|
mrhappiness
PHP Guru
|
|
Registriert seit: Oct 2002
Beiträge: 14.890
|
|
Referrer ist scheiße, da nicht immer vorhanden und wenn doch, nicht immer wahr.
"Vielen Dank für Ihre Bestellung" ist ein merkwürdiger Betreff für einen Newsletter...
Warum arbeitest du nicht mit Sessions?
Nur wenn in der Session ein bestimmter Wert steht, wird die Formulareingabe akzeptiert und versendet.
__________________
Ich denke, also bin ich. - Einige sind trotzdem...
|
04-11-2005, 10:45
|
|
Benji
Senior Member
|
|
Registriert seit: Jun 2003
Beiträge: 574
|
|
Vielen Dank für eure zahlreichen Antworten. Werde das script mit Sessions absichern.
Gruss
Benji
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
|
| Themen-Optionen |
|
|
| Thema bewerten |
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
|
Alle PHP Scripte anzeigen 
Jetzt registrieren
Berni
