PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks. |
 |

24-02-2008, 18:19
|
|
Kontaktformular so sicher?
Servus Leute,
ich hab ma ne Frage zu meinem Kontaktformular. Als Homepage-Betreiber würde ich gern wissen, ob das Script so sicher ist, oder ob es vor Sicherheitslücken nur so strotzt.
Code:
<?php
$mailto="xxx@xxx.de";
$form_file="source/feedback.tpl";
$thanks_file="source/thanks.tpl";
$standard_legend="Hinweis";
$error_legend="Fehler";
if(isset($_POST['feedback']))
check_form_data();
else
show_form_data(false);
function show_form_data($with_error){
global $form_file, $standard_legend, $error_legend;
$page=file_get_contents($form_file);
$page=preg_replace("/\[\%self\%\]/",
$_SERVER['SCRIPT_NAME'], $page);
if($with_error==true)
$page=preg_replace("/\[\%legend\%\]/",
$error_legend, $page);
else
$page=preg_replace("/\[\%legend\%\]/",
$standard_legend, $page);
echo $page;
exit();
}
function check_form_data() {
//echo "<pre>", var_dump($_POST), "</pre>";
if(empty($_POST['Mail']) or empty($_POST['Text']))
show_form_data(true);
else
mail_and_thanks();
}
function mail_and_thanks() {
global $mailto, $thanks_file;
$headers="From: {$_POST['Vorname']} {$_POST['Name']} ";
$headers.="<{$_POST['Mail']}>\r\n";
$headers.="Content-Type: text/plain; charset=ISO-8859-1\r\n";
$headers.="Content-Transfer-Encoding: 8bit";
mail($mailto, $_POST['subject'], $_POST['Text'], $headers);
$page=file_get_contents($thanks_file);
echo $page;
exit();
}
?>
Vielen Dank schon mal für eure Antworten. Als Hinweis, das Script habe ich von Stefan Münz, dem Gründer von SelfHTML übernommen.
Einen schönen Sonntag euch allen.
Guß Huxley
|

24-02-2008, 18:28
|
TobiaZ
 Moderator
|
|
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
|
|
Nicht nur unsauber Programmiert, sondern auch total unsicher.
Aber sicher hast du die Frage nicht einfach so aufs gerade wohl gestellt, sondern dich bereits vorher über das Thema informiert und bist sicher auch über das Stichwort Mail-Injection gestolpert...
|

25-02-2008, 21:46
|
|
aha... nuja, wie gesagt, abgeschrieben aus dem Buch von Stefan Münz
hmpf.
ja, von der Mail_injection hab ich gehört, auch von der URL-Injection und all so unschönen dingen.
wie ist es besser zu machen, also ausgehend, davon, was ich jez schon habe. oder hilft da nur neu programmieren?
Gruß
|

25-02-2008, 21:49
|
TobiaZ
 Moderator
|
|
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
|
|
Also nen Konktaktformular würd ich schnell neu Programmieren, bevor ich darauf aufbaue. Aber kannst es natürlich auch anpassen. Wenn du dich ein bisschen informiert hast, sind die stellen ja leicht gefunden.
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Themen-Optionen |
|
Thema bewerten |
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
|