AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Email senden

Ein Thema von Luckie · begonnen am 7. Nov 2005 · letzter Beitrag vom 14. Apr 2006
Antwort Antwort
Seite 2 von 5     12 34     Letzte »    
mumu

Registriert seit: 28. Okt 2003
Ort: Bamberg
519 Beiträge
 
#11

Re: [PHP] Email senden

  Alt 7. Nov 2005, 13:36
probier mal

stripslashes(text)

addslashes(text)

gruß
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#12

Re: [PHP] Email senden

  Alt 7. Nov 2005, 14:19
stripslashes entfernt nur die Backslashes, so dass dann das bei rauskommt:
Zitat:
Von: Michael Puff <mpuff@lgmx.de>rnrnText:rnDies ist nut ein Testtext.
Und addslashes ändert dann auch nichts mehr dran.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
mumu

Registriert seit: 28. Okt 2003
Ort: Bamberg
519 Beiträge
 
#13

Re: [PHP] Email senden

  Alt 7. Nov 2005, 14:24
probier mal nur

addslashes(text)

sorry, hab mich da weng blöd ausgedrückt. nicht beides hintereinander.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#14

Re: [PHP] Email senden

  Alt 7. Nov 2005, 14:31
Also, die Lösung von ripper löst schon mal das Problem mit den Zeilenumbrüchen. Nur das mit den "escapen" habe ich nochnicht hinbekommen:
Zitat von original:
Note that 'e-mail injection' exploits don't need a 'return' byte at all, so there's no use scanning for \n or \r. The safest way to prevent the exploit is to eregi() search all fields for 'MIME-Version: ' or something else found in e-mail headers, and intercept the spammer that way. Here's the simplest way I have:
Mit addslashes:
Zitat:
Note that \'e-mail injection\' exploits don\'t need a \'return\' byte at all, so there\'s no use scanning for \\n or \\r. The safest way to prevent the exploit is to eregi() search all fields for \'MIME-Version: \' or something else found in e-mail headers, and intercept the spammer that way. Here\'s the simplest way I have:
Mit stripslashes:
Zitat:
Note that 'e-mail injection' exploits don't need a 'return' byte at all, so there's no use scanning for \n or \r. The safest way to prevent the exploit is to eregi() search all fields for 'MIME-Version: ' or something else found in e-mail headers, and intercept the spammer that way. Here's the simplest way I have:
Ergo mit stripslashes geht es.

Besten dank.

So sieht es jetzt aus: http://www.luckie-online.de/impressum.php
Und das Script dazu:
Code:
<?php
  /*
  Copyright (c) 2005: Michael Puff
  Url: [url]http://www.luckie-online.de[/url]
  Mail: [email]mpuff@luckie-online.de[/email]
 
  Version: 1.0 - 2005-11-07
*/

  $to = 'mpuff@luckie-online.de';

  $headers = "MIME-Version: 1.0\r\n".
   "Content-Type: text/plain; charset=iso-8859-1\r\n".
   "From: \"Kontaktformular luckie-online.de\" <".$from.">\r\n".
   "To: ".$to." <".$to.">\r\n".
   "Date: ".date("r")."\r\n";

  $msg = 'Von: '."\n".$yourname.' <'.$from.'>'."\n\n".'Text:'."\n".$text;
  $msg = stripslashes($msg);
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <title>Homepage von Michael Puff</title>
    <link rel="stylesheet" type="text/css" href="/css/dir.css">
  </head>
  <body>
  <h1>Homepage von Michael Puff</h1>
  <?php
    $dir = getcwd();
    $start = strpos(strtolower($dir), '/html/')+5;
    $s = substr($dir, 0, $start);
    include $s.'/includes/nav.shtml';
    include $s.'/includes/copyright.inc';
  ?>
  <h2>E-Mail senden</h2>
  [img]/pics/line.png[/img]
 



<?php
  if (empty($from) || empty($text))
  {
     echo "Bitte füllen Sie mindestens die Felder 'E-Mail Adresse' und 'Text' aus.";
  }
  else if (!mail($to, $subject, $msg, $headers))
  {
    echo '

Es ist ein Fehler beim Senden der E-Mail aufgetreten.</p>';
  }
  else
  {
    echo '

Die E-Mail wurde erfolgreich gesendet.</p>';
  }
?>




  [img]/pics/line.png[/img]
  <table class="tblfooter">
    <tr>
    <?php
      echo '<td class="total"></td>'.'<td class="copy">'.$cr.'</td>';
    ?>
    </tr>
  </table>
</body>
</html>
Ist der Header so wasserdicht oder kann da jemand das Formular missbrauchen? Es wäre nett, wenn ein, zwei mir mal eine Testmail darüber schicken und mir Rückmeldung geben würden.

[edit=Admin]Code-Tags korrigiert. Mfg, Daniel[/edit]
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#15

Re: [PHP] Email senden

  Alt 7. Nov 2005, 20:46
So, irgend eine nette namenlose Person hat mir eine Mail geschrieben. Oder sie war nicht nett und wollte mich nur ärgern. jedenfalls scheint es zu funktionieren. Kan mir mal jemand sagen, wie sicher das jetzt mit dem obigen Code ist?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
ripper8472

Registriert seit: 17. Aug 2003
275 Beiträge
 
#16

Re: [PHP] Email senden

  Alt 7. Nov 2005, 20:53
sicher.

zwar kann dir jeder alles moegliche schicken und dich evtl sogar vollspammen, aber das ist keine frage von sicher/unsicher mehr.
Christoph
  Mit Zitat antworten Zitat
Benutzerbild von Pr0g
Pr0g

Registriert seit: 21. Mai 2004
809 Beiträge
 
Delphi 7 Personal
 
#17

Re: [PHP] Email senden

  Alt 7. Nov 2005, 20:55
In wie fern sicher?

Und du solltest dir angewöhnen die globalen Arrays $_GET und $_POST (in deinem Fall letzteres, da du die Daten aus dem Formular ja wohl auch per "post" abschickst, $_GET wäre für Daten, die über die URL kommen).

Also bspw. $_GET['text'] statt $text.

Zumal du so auch auf der sicheren Seite bist, falls deine Scripte mal auf einem Server laufen sollen, auf dem die Einstellung register_globals auf "off" gestellt wurde, denn dort sind die Werte nur üer globalem Array erreichbar. Infos dazu auch bspw. hier.
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#18

Re: [PHP] Email senden

  Alt 7. Nov 2005, 21:07
Zitat von ripper8472:
zwar kann dir jeder alles moegliche schicken und dich evtl sogar vollspammen, aber das ist keine frage von sicher/unsicher mehr.
Nun das ist wohl mit jedem Kontaktformular möglich. Ich meine nur, dass mein Formular nicht für Spammails missbraucht werden kann. Also, wie hier http://de.php.net/manual/de/function.mail.php#55111 oder hier http://securephp.damonkohler.com/ind...mail_Injection beschrieben.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
ripper8472

Registriert seit: 17. Aug 2003
275 Beiträge
 
#19

Re: [PHP] Email senden

  Alt 7. Nov 2005, 21:31
Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung.
Christoph
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#20

Re: [PHP] Email senden

  Alt 7. Nov 2005, 21:33
Zitat von ripper8472:
Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung.
OK, werde ich machen. Danke für eure Hilfe.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 5     12 34     Letzte »    


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 19:36 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz