Php script für Spam Mißbraucht

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Hallo,

    ja *auch noch eben meinen Saft dazu abgeben will*:

    http://www.drweb.de/webmaster/kontakt-formulare.shtml

    und ... mit der phpmailer Klasse habe ich persönlich noch keine Mail injections erlebt also .. kann die nur empfehlen.


    gruß
    Robert

    Kommentar

    • #17
      Original geschrieben von heiss
      Nach dem, was ich gelesen habe zum Thema mail-injection, muss man in dieser Situation "Kontaktformular" die von mir genannte Massnahme treffen.

      Der Rest (alles checken) ist abstrakt und unhilfreich, weil damit noch lange nicht klar ist, worauf geprüft werden muss. Irgendetwas muss ja noch durchgelassen werden, was willst du zB unter $vorname prüfen? etwa deutsches Vornamenbuch von Bertelsmann (Europaring), Ausgabe 2006????
      irgendwie hast Du (oder ich) nen Denkfehler....

      Wenn jemand in das Feld Vorname ausführbaren html, javascript oder sonstigen Code eingibt und diese Feld Vorname ohne Prüfung
      mit z.B.echo ausgegeben wird, dann wird der Inhalt dieses Felds (das Script) ausgeführt.

      Kommentar

      • #18
        Original geschrieben von heiss
        Ueber den message-Teil kann man keine CC: und BCC: mail-injecten.
        aber wenn du zur Kontrolle für den Absender den message-Teil
        ausgeben läßt, dann kann ich ein Script einschleusen welches
        mails versendet.

        Kommentar

        • #19
          Original geschrieben von Koala
          irgendwie hast Du (oder ich) nen Denkfehler....

          Wenn jemand in das Feld Vorname ausführbaren html, javascript oder sonstigen Code eingibt und diese Feld Vorname ohne Prüfung
          mit z.B.echo ausgegeben wird, dann wird der Inhalt dieses Felds (das Script) ausgeführt.
          Hier hast Du den Denkfehler begangen. Es geht hier um mail und nicht um alle anderen injection-möglichkeiten.

          Wenn Du das Feld $Vorname ohne Prüfung in so ein mail einsetzt, wie am anfang des thread eingegeben (und gemäss mir die headers prüfst, dh CR und LF rauswirfst), kannst du kein ausführbares html usw ins mail einschleusen.

          Soviel zum Thema mail. Wenn Du es in den output einfügen willst, ist das kein mail, aber es muss es wie alles andere mit htmlescapechars geschützt werden.

          Kommentar

          • #20
            es geht hier nicht um andere Injection-Möglichkeiten...
            ja - klar: EIN Sicherheitsloch stopfen und die anderen offenlassen.

            Grundsätzlich muß JEDER Usereingabe mistraut werden.

            ------------

            Was soll denn htmlescapechars sein?

            Ein php-Befehl ist es jedenfalls nicht...

            Kommentar

            Vorherige 1 2 template Weiter
            Lädt...
            X