PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr

PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr (https://www.php-resource.de/forum/)
-   PHP Developer Forum (https://www.php-resource.de/forum/php-developer-forum/)
-   -   Formmailer Umbau auf Sicherheit (https://www.php-resource.de/forum/php-developer-forum/51994-formmailer-umbau-auf-sicherheit.html)

MaxKunst 16-03-2005 16:58

Formmailer Umbau auf Sicherheit
 
Hallo liebe PHP-Gemeinde,

mein Provider hat mich gerade angemail, das mein Formmailer nicht sicher sei, da von jedem PC/Webseite aus das Script missbraucht werden kann:

<?php
$fmt_Response=implode("", file("response.htt"));
$fmt_Mail=implode("", file("mail.htt"));
while(list($Key, $Val)= each($HTTP_POST_VARS)) {
$fmt_Response=str_replace("{$Key}", $Val, $fmt_Response);
$fmt_Mail=str_replace("{$Key}", $Val, $fmt_Mail);
}
mail($HTTP_POST_VARS["recipient"], $HTTP_POST_VARS["subject"], $fmt_Mail);
echo $fmt_Response;
?>

Jetzt würde ich gerne eine Abfrage einbauen, die überprüft, ob die Anfrage von meiner Webseite kommt, bevor das Script aktiv wird.

Kann mir jemand sagen, ob und evtl. wir das machbar wäre?
Bin für jeden Hinweis dankbar!

Max

penizillin 16-03-2005 17:00

hinweis nummer eins: http://www.php-resource.de/forum/sho...threadid=50454

hinweis nummer zwei: referer
anmerkung: unsichere kontrolle

hinweis nummer drei: sessions
anmerkung: sichere kontrolle

MaxKunst 16-03-2005 17:08

???
 
Hinweis Nummer 4: Bei meinem "Gedankenleser" sind die Akkus leer...?

penizillin 16-03-2005 17:10

auch beim gedankenverarbeiter? :)
google up your life oder pay me - welcher grundsatz ist dir lieber?

p.s. editiere dein post bitte.

Meillo 16-03-2005 19:01

Formmailer die an beliebige Adressen mailen können sind IMO auf jeden Fall zu vermeiden. Sonst codet sich jemand ein "tolles" Programm das mit Hilfe deines Formmailers haufenweise Spam versendet - und das läuft auf dich zurück!
Am Besten nur einen festen Empfänger (=webmaster), direkt in der mail()-Fkt angeben. Dann bekommst nur du ggf. Spam ab.
Oder wenn mehrere Personen zur Auswahl stehen sollen, dann per DB realisieren.


Alle Zeitangaben in WEZ +2. Es ist jetzt 19:42 Uhr.

Powered by vBulletin® Version 3.8.2 (Deutsch)
Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.3.0
[c] ebiz-consult GmbH & Co. KG