Schutz vor Spamversand - geht,s auch einfacher?

Collapse
X
Collapse
 
  • Page of 3
  • Filter
  • Time
  • Show
Clear All
new posts
Previous 1 2 3 template Next
  • #31
    Originally posted by onemorenerd View Post
    Na wenn du dich mit regulären Ausdrücken nicht so richtig auskennst, dann geht es auch so:
    PHP Code:
    $input $_POST['email'] . $_POST['subject'];
    if (    strpos($input"\n") !== false || strpos($input"\r") !== false
    || stripos($input'%0a') !== false || stripos($input'%0d') !== false) {
        exit();

    Oh - danke...

    Für PHP4 nehme ich dann nur strpos() - wird bestens funktionieren denke ich

    Grüsse
    Cosinus

    *join*

    Originally posted by AmicaNoctis View Post
    @cosinus: Warum das urldecode?
    @onemornerd: Wieso nach %0d und %0a testen? Entweder begreife ich es nicht, wie URL-Escape-Sequenzen schädlich sein können oder es ist einfach überflüssig, die abzutesten.
    ... damit aus '%0a' '\n' wird?

    Grüsse
    Cosinus
    Last edited by AmicaNoctis; 05-05-2010, 00:50. Reason: Doppelposting
    Wer mein jemand zu sein,
    hört auf jemand zu werden...!

    Comment

    • #32
      Originally posted by cosinus View Post
      ... damit aus '%0a' '\n' wird?
      Aber wo, wie, warum und wann sollte das denn passieren? PHP macht das schon selber und es komm bereits als \n an, man müsste %25%0a posten, damit PHP es zu %0a decodiert, aber was hätte das für ein Gefahrenpotenzial in einem E-Mail-Header?
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Comment

      • #33
        Eigentlich bräuchte man nur \r\n suchen. Aber Mailserver rangieren gleich hinter Browsern was die eigenmächtige "Korrektur der Eingabe" angeht.
        Die Expansion von \n zu \r\n hat es sogar ins PHP-Manual geschafft.
        Die Interpretation von Hexcodes ist mir bisher noch nicht untergekommen, aber Vorsicht ist besser als Nachricht.

        Comment

        • #34
          Originally posted by onemorenerd View Post
          Aber Mailserver rangieren gleich hinter Browsern was die eigenmächtige "Korrektur der Eingabe" angeht.
          Die Expansion von \n zu \r\n hat es sogar ins PHP-Manual geschafft.
          Das hat ja nichts mit dem Mailserver zu tun, sondern mit der Implementation von sendmail und der Tatsache, dass UNIX nun mal nur LF als Zeilenumbruch benutzt.

          Originally posted by onemorenerd View Post
          Die Interpretation von Hexcodes ist mir bisher noch nicht untergekommen, aber Vorsicht ist besser als Nachricht.
          Ich seh da trotzdem keinen Sinn drin. Hexcodes für Zeilenumbrüche könnte man genausogut als 0x0a, \0a, #0a, $0a angeben und die könnten theoretisch blödsinnigerweise von einem Mailserver interpretiert werden, aber die Chance ist genauso niedrig wie bei %0a. Warum aber wird das als böses Zeichen besonders behandelt? Das ergibt keinen Sinn.
          [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
          Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
          Super, danke!
          [/COLOR]

          Comment

          Previous 1 2 3 template Next
          Working...
          X