Php script für Spam Mißbraucht

**Koala** · 20.07.2006, 20:23

Du mußt die Eingabe der Felder überprüfen
und je Session nur einmaliges Versenden des Formulars
zulassen.

Also eine Sessionvariable nach jedem Versenden hochzählen,
nach einmal Versenden ist Schluß.

**webbybird** · 20.07.2006, 20:41

aber selbst dann, ich lasse mir pro aufruf des skriptes die ip des senders zuschicken, und pro ein aufruf wird wohl dessen code direkt eingespeisst, kann ich nicht die cc und bcc funktion deaktivieren?

**penizillin** · 20.07.2006, 20:43

du sollst einfach _nichts_ in die headers einfügen, was dir der benutzer übermittelt.

**Gast** · 20.07.2006, 21:07

abend

wie schon erwähnt wurde, die IP mitloggen und dann eben das weiterer verschicken von der Mail sperren für denjenigen mit der IP

kannst du das nicht mit preg_match überprüfen, das muss doch damit gehen ??

gruß SuRaXor

**3DMax** · 20.07.2006, 21:32

Original geschrieben von webbybird
kann ich nicht die cc und bcc funktion deaktivieren? [/B]

ja, kannst du. indem du alle parameter ordentlich validierst: Mail-Formulare auf Webseiten absichern

**heiss** · 20.07.2006, 21:46

du kannst in der online Version des php-manuals unter mail() bei den user contributed notes nachschauen, es ist voll von diesem Thema.

**Koala** · 20.07.2006, 21:51

man kann auch die phpmailer klasse verwenden,
die ist besser(zuverlässiger) als mail.

**heiss** · 20.07.2006, 22:13

Original geschrieben von Koala
man kann auch die phpmailer klasse verwenden,
die ist besser(zuverlässiger) als mail.

bedeutet diese Aussage, gegen mail injection?

**heiss** · 20.07.2006, 22:19

($adminemail, "irgendwas: $subject", $msg2, "From: $email2 \nReply-To: $email")

Ich sehe gerade, mit deinem Code ist mail injection über $email möglich. Am einfachsten ist es, wenn ,falls darin CRLF, oder CR, oder LF vorkommt, das mail als spam erkannt wird. uber $subject sollte es nicht möglich sein, aber Du kannst den gleichen Test machen.
$email2 ist ja = hostname und das kommt nicht von aussen?

**Koala** · 20.07.2006, 22:20

Original geschrieben von heiss
bedeutet diese Aussage, gegen mail injection?

nein - sie versendet zuverlässiger - lol.

Aber wenn man sich mit dem Thema auseinandersetzen muß/will,
dann kann man ja gleich ne vernünftige Klasse verwenden.

**webbybird** · 20.07.2006, 22:26

danke für die vielen Antworten, ich werde mal mein Bestes und hoffen, dass dieses Problem aus der Welt zu schaffen sein wird.
gruss und n8

**Koala** · 20.07.2006, 22:27

@heiss

es muß generell alles was von außen kommt gecheckt werden,
mit stripslashes, mysql_realescape (wenn die eingegebenen Daten in der DB landen) oder mit nem Regex.

Die eingegebenen Daten werden ja auch im message-Teil der mail
ausgegeben und da will man auch keinen Code drin haben.

In der phpmailer-Klasse kann man angeben, daß nur als text/plain
verschickt werden soll.

**heiss** · 20.07.2006, 22:52

Nach dem, was ich gelesen habe zum Thema mail-injection, muss man in dieser Situation "Kontaktformular" die von mir genannte Massnahme treffen.

Der Rest (alles checken) ist abstrakt und unhilfreich, weil damit noch lange nicht klar ist, worauf geprüft werden muss. Irgendetwas muss ja noch durchgelassen werden, was willst du zB unter $vorname prüfen? etwa deutsches Vornamenbuch von Bertelsmann (Europaring), Ausgabe 2006????

**heiss** · 20.07.2006, 22:55

Original geschrieben von Koala
Die eingegebenen Daten werden ja auch im message-Teil der mail
ausgegeben und da will man auch keinen Code drin haben.

Ueber den message-Teil kann man keine CC: und BCC: mail-injecten.

Php script für Spam Mißbraucht