AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Ist mein Mailskript sicher?

Ein Thema von Luckie · begonnen am 23. Sep 2010 · letzter Beitrag vom 23. Sep 2010
Antwort Antwort
Seite 3 von 3     123   
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#21

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 14:48
OK, überredet. Wird nachher eingebaut.

Was kann man sonst noch an der Funktion verbessern?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Andreas L.
(Gast)

n/a Beiträge
 
#22

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 15:07
Ich glaube genau das will ich nicht:
Zitat:
htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um
Ich will sie ja raus haben.
nein, das wandelt z. B. > in &gt; um, damit werden also Tags wie z. B. <a>, <b>, etc.. unschädlich gemacht.
  Mit Zitat antworten Zitat
Benutzerbild von SirThornberry
SirThornberry
(Moderator)

Registriert seit: 23. Sep 2003
Ort: Bockwen
12.235 Beiträge
 
Delphi 2006 Professional
 
#23

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 16:42
Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?
Du irrst. Denn "\n" Ist ja nur eine Schreibweise. Intern kommt da kein "\" vor. Das ist als würdest du mit Delphi einen Zeilenumbruch entfernen wollen in dem du alle "#" durch nichts ersetzt. Da ist auch nicht das Ergebnis das dann Anstelle des Zeilenumbruchs 13 und 10 als Zahlen im Text stehen.
Jens
Mit Source ist es wie mit Kunst - Hauptsache der Künstler versteht's
  Mit Zitat antworten Zitat
Namenloser

Registriert seit: 7. Jun 2006
Ort: Karlsruhe
3.724 Beiträge
 
FreePascal / Lazarus
 
#24

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 17:18
Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?
Und was macht dein Script, wenn ich "\\n" eingebe? Richtig, es wandelt mir brav das ganze in "\n" um. Da bedank ich mich als Angreifer doch...

Man sollte generell vorsichtig sein, mit Hilfe von str_replace oder preg_replace Formularwerte/Parameter abzusichern. Z.B. könnte man auf die Idee kommen, bei einer Pfadangabe aus Sicherheitsgründen ganz naiv ".." durch "" zu ersetzen. Allerdings übersieht man dabei leicht, was passiert, wenn der Angreifer "...." übergibt. Es gibt viele Sicherheitslücken solcher Art, und nicht alle sind auf den ersten Blick so offensichtlich.
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#25

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 19:08
Kurzum: nein, ist es nicht. Absolut nicht. So unsicher dass ich dir empfehle, es sofort offline zu nehmen falls du es online hast. Die Gruende hast du schon gehoert.

Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.
Dann lies den Code der Library, such Bugs, melde Bugs, biete an den Code zu verbessern. Die Welt hat aber absolut gar nichts davon wenn der Millionste PHP-Frickler die Millionste Spam-Schleuder entwickelt nur weil er a) zu klug ist um ne fertige Library zu verwenden die auch syntaktisch korrekte Mails schickt (sich nur auf sendmail zu verlassen ist nicht immer so klug) und b) keine Ahnung von Absicherung von Input hat. Nimms mir nicht uebel, aber in diesem Fall meine ich es mit der gesamten Boshaftigkeit die man im Text rausliest.
Zur Regex die die E-Mail-Adresse validiert:
* foo+something@web.de (ist gueltig, wird abgelehnt)
* somebody@deutsches.museum (ist gueltig, wird abgelehnt, vgl. auch .museum auf Wikipedia)
* abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwx yzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuv wxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrst uvwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqr stuvwxyz@abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvw xyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstu vwxyzabcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrs tuvwxyz.de [die Leerzeichen bitte ignorieren, die Software fuegt diese ein] (ist ungueltig, wird akzeptiert)
Du solltest dir evtl. nochmal RFC 5322 zu Gemuete fuehren.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de

Geändert von alcaeus (23. Sep 2010 um 19:24 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#26

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 20:44
Ich glaube genau das will ich nicht:
Zitat:
htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um
Ich will sie ja raus haben.
nein, das wandelt z. B. > in &gt; um, damit werden also Tags wie z. B. <a>, <b>, etc.. unschädlich gemacht.
Na ja gut, mit strip_tags schmeiße ich ja den ganzen HTML-Code raus.

Zitat:
Man sollte generell vorsichtig sein, mit Hilfe von str_replace oder preg_replace Formularwerte/Parameter abzusichern.
Was wäre eine bessere Lösung?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von arbu man
arbu man

Registriert seit: 3. Nov 2004
Ort: Krefeld
1.108 Beiträge
 
Delphi 7 Professional
 
#27

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 21:42
wenn der string \n enthält fehler ausgeben, bei der eingabe über ein einzeiliges input kann es sich eigentlich nur noch um einen hack handeln?
Björn
>> http://bsnx.net <<
Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 3 von 3     123   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:17 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz