php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 30-05-2007, 11:20
StBaumann
 Registrierter Benutzer
Links : Onlinestatus : StBaumann ist offline
Registriert seit: Jan 2004
Beiträge: 43
StBaumann ist zur Zeit noch ein unbeschriebenes Blatt
Angry SPAM-Mails

Hallo,

ich habe vor kurzem eine eigentlich ganz einfache Seite erstellt, auf der ein paar einfache Datenbankabfragen integriert wurden.
Also nur insert, delete und update.
Weiter wurde ein Kontakt-Formular erstellt, welches per Script an meine E-Mailadresse versendet wird.

Nun habe ich von meinem Provider eine Art Ermahnung bekommen,
es seien von meiner Seite aus SPAM-Mails versand wurden!!!

Wie geht so etwas???

Ich weiß nicht, ob es an meinen Scripten liegt, was ich mir eigentlich nicht vorstellen kann, da ich doch nur Daten abfrage und in der Datenbank werden auch keinerlei e-mail adressen gespeichert sondern einfach nur Datum und Text.

Kann mir jemand sagen, was ich dagegen tun kann??

Hier mal ein Script, mit welchem ich die Datenbank abfrage:
PHP-Code:
<?
include("php_functions.php");
include(
"connection.php");

connect();                      
$verbindung mysql_connect($mysql_server$mysql_benutzer$mysql_kennwort);
    
mysql_select_db($db$verbindung); // USE datenbank

    
$sql "SELECT * FROM news ";
    
$inhalt =  send_sql($db$sql);
    
$gesamt =  mysql_num_rows($inhalt);
    if (
$gesamt == 0)
        {
            echo 
"Keine Angebote vorhanden !";
        }
    else
        {
        while (@
$row=mysql_fetch_array($inhalt,MYSQL_ASSOC))
               {

?>
Gruß Steffen
__________________
Die 3 Todfeinde eines Programmiereres:
Sonne, frische Luft und das unerträgliche Geschrei der Vögel!!
Mit Zitat antworten
  #2 (permalink)  
Alt 30-05-2007, 11:28
Wyveres
 Registrierter Benutzer
Links : Onlinestatus : Wyveres ist offline
Registriert seit: Dec 2006
Ort: Rügen
Beiträge: 763
Blog-Einträge: 2
Wyveres ist zur Zeit noch ein unbeschriebenes Blatt
Wyveres eine Nachricht über ICQ schicken
Standard

das hat mit deiner DB herzlich wenig zu tun.

Ddein Kontakt Formular sendet wahlos E-Mails raus.

Heist es wird als Spamschleuder verwendet. Stell mal den PHP code des Mail Formulares hier rein wirst dich Wundern was du für Antworten bekommst.
__________________
Bitte Beachten.
Foren-Regeln
Danke
Mit Zitat antworten
  #3 (permalink)  
Alt 30-05-2007, 11:33
StBaumann
 Registrierter Benutzer
Links : Onlinestatus : StBaumann ist offline
Registriert seit: Jan 2004
Beiträge: 43
StBaumann ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

hier der Code zum versenden der Mails:

PHP-Code:
<? 
$codecode
=0;
                  
if(
$vname=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Vorname anzugeben!<br>");
$codecode=1;
}                  

if(
$name=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Name anzugeben!<br>");
$codecode=1;
}

if(
$strasse=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen die Stra&szlig;e anzugeben!<br>");
$codecode=1;
}

if(
$plz=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen die PLZ anzugeben!<br>");
$codecode=1;
}

if(
$ort=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Ort anzugeben!<br>");
$codecode=1;
}

if(!
eregi("^([_[:alnum:]-]+)(\.[_[:alnum:]-]+)*@([[:alnum:]])([[:alnum:]\.-]+)([[:alnum:]])\.([[:alpha:]]{2,3})$",$mail))
{
echo 
"<b>Fehler:</b> Die e-Mail Adresse die Sie angegeben haben ist nicht g&uuml;ltig!<br>";
$codecode=1;
}

if(
$text=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen Ihr Anliegen in das Textfeld einzugeben!<br>");
$codecode=1;
}

if(
$codecode=="0")
{
mail("xxx@yyy.de","Anfrage von der Webseite","

Vorname: $vname
Name: $name
Strasse: $strasse
PLZ - Ort: $plz - $ort


e-mail: $mail
Tel.: $tel - &tel2

W&uuml;nsche:
$text

"
);

echo(
"Vielen Dank...,<br><br>Wir setzen uns schnellstm&ouml;glich mit Ihnen in Verbindung.");
}
?>
Wenn hier etwas nicht richtig sein sollte dann sagt bitte was, Danke

Gruß Steffen
__________________
Die 3 Todfeinde eines Programmiereres:
Sonne, frische Luft und das unerträgliche Geschrei der Vögel!!
Mit Zitat antworten
  #4 (permalink)  
Alt 30-05-2007, 11:40
Wyveres
 Registrierter Benutzer
Links : Onlinestatus : Wyveres ist offline
Registriert seit: Dec 2006
Ort: Rügen
Beiträge: 763
Blog-Einträge: 2
Wyveres ist zur Zeit noch ein unbeschriebenes Blatt
Wyveres eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von StBaumann
Hallo,

hier der Code zum versenden der Mails:

PHP-Code:
if($codecode=="0")
{
mail("xxx@yyy.de","Anfrage von der Webseite","

Vorname: $vname
Name: $name
Strasse: $strasse
PLZ - Ort: $plz - $ort


e-mail: $mail
Tel.: $tel - &tel2

W&uuml;nsche:
$text

"
); 
Wenn hier etwas nicht richtig sein sollte dann sagt bitte was, Danke

Gruß Steffen
Dein Problem ist die Mail Funktion!

1. Google Mail injektion!
2. es Gibt hier ein Wichtig: beitrag der informationen darüber enthält wie ein MAIL richtig aufgebaut werden Muss!

denn dein aufbau ist erlich! sowas von Knackbar und missbrauchbar das es ein Leichtes ist deine E-mail raus zu werfen und Die Empfängermails einzutragen.

sprich BCC: CC: usw. einfach Googlen. und Lesen. Dein Problem hatten schon x-tausende vor dir. sprich es gibt auch ebensoviele lösungen.

nochn kleiner TIP: MAIL HEADER /MAIL INJEKTION => FOREN SUCHE

PS: versuch erst dein problem Selber in den Griff zu bekommen bevor du uns hier um Code Anbettelst.
__________________
Bitte Beachten.
Foren-Regeln
Danke
Mit Zitat antworten
  #5 (permalink)  
Alt 30-05-2007, 11:45
Benutzerbild von Berni Berni
  OWNER
Links : Onlinestatus : Berni ist offline
Registriert seit: Jan 2001
Ort: Frankfurt / Egelsbach
Beiträge: 6.306
Blog-Einträge: 6
Berni befindet sich auf einem aufstrebenden Ast
Standard

schau mal hier nach:

http://www.anders.com/projects/sysad...PostHijacking/
__________________

php-Entwicklung | ebiz-consult.de
PHP-Webhosting für PHP Entwickler | ebiz-webhosting.de
die PHP Marktplatz-Software | ebiz-trader.de
Mit Zitat antworten
  #6 (permalink)  
Alt 30-05-2007, 12:32
StBaumann
 Registrierter Benutzer
Links : Onlinestatus : StBaumann ist offline
Registriert seit: Jan 2004
Beiträge: 43
StBaumann ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

habe mal etwas versucht, möchte aber Eure Meinung dazu wissen,
ob es so funktionieren würde!!

PHP-Code:
<? $codecode=0;
                  
if(
$vname=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Vorname anzugeben!<br>");
$codecode=1;
}                  

if(
$name=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Name anzugeben!<br>");
$codecode=1;
}

if(
$strasse=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen die Stra&szlig;e anzugeben!<br>");
$codecode=1;
}

if(
$plz=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen die PLZ anzugeben!<br>");
$codecode=1;
}

if(
$ort=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen den Ort anzugeben!<br>");

$codecode=1;
}

if(!
eregi("^([_[:alnum:]-]+)(\.[_[:alnum:]-]+)*@([[:alnum:]])([[:alnum:]\.-]+)
([[:alnum:]])\.([[:alpha:]]{2,3})$"
,$mail))
{
echo 
"<b>Fehler:</b> Die e-Mail Adresse die Sie angegeben haben ist 
nicht g&uuml;ltig!<br>"
;
$codecode=1;
}

if(
$text=="")
{
echo(
"<b>Fehler:</b> Sie haben vergessen Ihr Anliegen in das Textfeld 
einzugeben!<br>"
);
$codecode=1;
}

if(
$codecode=="0")
{
//Wird vom Formular ausgefuellt  
$email_to "meine-adresse@[url]www.de[/url]";   
//Absender-Email  
$email_from_mail "$mail";   
//Absender-Name  
$email_from_name "$name";   
//Betreff in der Mail  
$email_betreff "Anfrage von Webseite";  
//CC  

$header="From:$email_from_name<$email_from_mail>\n";   
mail($email_to,$email_betreff,$text,$header);


echo(
"Vielen Dank...,<br><br>Wir setzen uns schnellstm&ouml;glich mit Ihnen in Verbindung.");
}
?>
Würde das Script sp funktionieren?

Wie bekomme ich dann noch die anderen Variablen in das Textfeld
der E-Mail, ich möchte alle Felder des Formulars als Text in der Mail
anzeigen lassen.

Gruß Steffen
__________________
Die 3 Todfeinde eines Programmiereres:
Sonne, frische Luft und das unerträgliche Geschrei der Vögel!!
Mit Zitat antworten
  #7 (permalink)  
Alt 30-05-2007, 12:53
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Du musst alle Daten welche aus dem Formular kommen und die du in den Header Bereich der Email platzierst auf Zeilenumbrüche testen. Wenn solche vorhanden sind deutet das sehr stark auf den Versuch hin deine Emailfkt zum spamen zu missbrauchen.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #8 (permalink)  
Alt 30-05-2007, 15:03
StBaumann
 Registrierter Benutzer
Links : Onlinestatus : StBaumann ist offline
Registriert seit: Jan 2004
Beiträge: 43
StBaumann ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

habe mein Versand für E-Mails umgebaut.
Würde mich freuen, wenn Ihr mich auf Fehler aufmerksam machen könntet.

Hier der Quellcode:
PHP-Code:
<?PHP  
//Wird vom Formular ausgefuellt  
$email_to "info@wibb-design.de";   
//Absender-Email  
$email_from_mail "$name_freund<$email_freund>";   
//Absender-Name  
$email_from_name "$name_freund";   
//Betreff in der Mail  
$email_betreff "Anfrage";  
//CC  
//$email_to_cc="Steffen Baumann<info@wibb-design.de>";
?>
<html>
<head> <title>Test</title> 
</head>
<body>
<?php 
if(!isset($email_freund))

?>
<form action="<? selfphp ?>" method="post"> 
<table width="58%" border="0" cellspacing="2" cellpadding="0">  
    <tr>    
        <td width="15%" valign="top">Name:</td>
        <td width="85%"><input type="text" name="name_freund"></td>  
    </tr>  
    <tr>    
        <td width="15%" valign="top">Email:</td>    
        <td width="85%"><input type="text" name="email_freund"></td>  
    </tr>
    <tr>
        <td width="15%" valign="top">Tel:</td>
        <td><input type="text" name="tel"></td>
    </tr>  
    <tr>    
        <td width="15%" valign="top">Kommentar:</td>    
        <td width="85%"><textarea cols="30" rows="6" name="kommentar"></textarea></td>   
    </tr>   
    <tr>     
        <td width="15%" valign="top">&nbsp;</td>
        <td width="85%"><input type="submit" value="HTML-Mail senden" name="submit"></td>  
    </tr>
</table>
</form> 

<?php 

else
{   
    
$kommentar"Name: $name_freund\n
Tel.: $tel\n
Kommentar: $kommentar"
;
    
    
$header="From:$email_from_name<$email_from_mail>\n";   
    
mail($email_to,$email_betreff,$kommentar,$header);
    echo 
"Ihre Anfrage wurde erfolgreich versand!";
}
    
?>
Gruß Steffen
__________________
Die 3 Todfeinde eines Programmiereres:
Sonne, frische Luft und das unerträgliche Geschrei der Vögel!!
Mit Zitat antworten
  #9 (permalink)  
Alt 30-05-2007, 15:06
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

fehler 1: register globals
fehler 2: der unbändige drang, irgendetwas von der usereingabe in die mail headers hineinzudrücken. den musst du überwinden.
Mit Zitat antworten
  #10 (permalink)  
Alt 30-05-2007, 15:13
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hast du es auch getestet ? Ich würde mich keinesfalls auf register_globals on verlassen, so wie du es zu machen scheinst. Ist der Wert von $email_to fix oder wird er je nach Usereingabe im Form gesetzt ? Wenn dynamisch dann: Was hindert mich daran als Empfänger folgendes anzugeben ?
Code:
info@meineDomain.de,spam@wholeWorld.com
Wenn du das ungeprüft an die Mail Fkt durchgibst
Zitat:
der unbändige drang, irgendetwas von der usereingabe in die mail headers hineinzudrücken. den musst du überwinden.
100% agree und sonst die Werte prüfen, prüfen und nochmals prüfen

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #11 (permalink)  
Alt 30-05-2007, 18:40
StBaumann
 Registrierter Benutzer
Links : Onlinestatus : StBaumann ist offline
Registriert seit: Jan 2004
Beiträge: 43
StBaumann ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo,

ich habe es auf meinem Server, wo meine Webseiten laufen geprüft, es funktioniert!!

aber wie prüfe ich die Mails??
Ich habe nur ein Script, wo ich prüfen kann, ob es wirklich eine Mail Adresse ist (spam@wholeWorld.com)??

Gruß Steffen
__________________
Die 3 Todfeinde eines Programmiereres:
Sonne, frische Luft und das unerträgliche Geschrei der Vögel!!
Mit Zitat antworten
  #12 (permalink)  
Alt 30-05-2007, 19:07
Wyveres
 Registrierter Benutzer
Links : Onlinestatus : Wyveres ist offline
Registriert seit: Dec 2006
Ort: Rügen
Beiträge: 763
Blog-Einträge: 2
Wyveres ist zur Zeit noch ein unbeschriebenes Blatt
Wyveres eine Nachricht über ICQ schicken
Standard

Zitat:
Original geschrieben von StBaumann
Hallo,

ich habe es auf meinem Server, wo meine Webseiten laufen geprüft, es funktioniert!!

aber wie prüfe ich die Mails??
Ich habe nur ein Script, wo ich prüfen kann, ob es wirklich eine Mail Adresse ist (spam@wholeWorld.com)??

Gruß Steffen
Schick dir selber die Mails. versuch an das Formular weiter E-Mail adressen einzutragen.

sprich mach genau das was eine Bösswillige Person machen würde um dein Formular zur spam-schleuder zu machen.

wenn das fehlschlägt. haste schonmal ein schritt geschafft.


kleiner tip: Speichere die Eingaben mal noch zusätzlich in eine TXT datei und analysiere die von zeit zu zeit. so siehst du auf garantie wann wer versucht über dein Formular Spam zu versenden. und vorallem wie er es versucht.
__________________
Bitte Beachten.
Foren-Regeln
Danke
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 09:53 Uhr.