mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: Do 28.03.2024 11:05 Benutzername: Passwort: Auto-Login

Thema: [php] mail vom 03.03.2008


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> [php] mail
Autor Nachricht
loveandhate
Threadersteller

Dabei seit: 24.12.2007
Ort: Seligenstadt
Alter: -
Geschlecht: Männlich
Verfasst Mo 03.03.2008 16:44
Titel

[php] mail

Antworten mit Zitat Zum Seitenanfang

hi,

ich hab en bestellformular geschreiben, und des soll dann über ein php code ausgewertet, und an eine email gesand werden.
so....

nun hab ich ja mehrere werte wie telefon, name, vorname, strasse, ort, plz, email usw....

wie kann ich die werte verbinden, damit die alle im body der email angezeigt werden? (Bei $mail->Body = )

Code:

 require('class.phpmailer.php');
  $mail = new PHPMailer();
  $mail->IsSMTP();
  $mail->Host = "smtp.webpage.t-com.de";
  $mail->SMTPAuth = true; 
  $mail->Username = "
  $mail->Password = "
  $mail->From = $_POST['Email'];
 

  $mail->FromName = Homepage;
 

  $mail->AddAddress("");
 

  $mail->Subject = Kartenbestellung;
 

  $mail->Body = $_POST['Name']  $_POST['vName'] $_POST['adresse'] $_POST['ort'] $_POST['plz']; 




  if(!$mail->Send())
  {
     echo "Die Email konnte nicht gesendet werden";
     echo "Fehler: " . $mail->ErrorInfo;
  }
  else
  {
     echo "Vielen Dank f&uuml;r Ihre Bestellung.<br><br>Bitte &Uuml;berweisen Sie den Betrag von ";
  }
?>


Zuletzt bearbeitet von loveandhate am Mo 03.03.2008 16:44, insgesamt 1-mal bearbeitet
  View user's profile Private Nachricht senden
achwasweisich

Dabei seit: 27.09.2007
Ort: Stuttgarter Raum
Alter: -
Geschlecht: Männlich
Verfasst Mo 03.03.2008 17:29
Titel

Antworten mit Zitat Zum Seitenanfang

Aua.
Naja, bevor ich jetzt lange Vorträge halte ... probier es mal damit:

Code:

require('class.phpmailer.php');
  $mail = new PHPMailer();
  $mail->IsSMTP();
  $mail->Host = "smtp.webpage.t-com.de";
  $mail->SMTPAuth = true;
  $mail->Username = "";
  $mail->Password = "";
  $mail->From = $_POST['Email'];
 

  $mail->FromName = "Homepage";
 

  $mail->AddAddress("");
 

  $mail->Subject = "Kartenbestellung";
 

  $mail->Body = "Name: " . $_POST['Name'] . "\nVorname: " . $_POST['vName'] . "\nAdresse: " . $_POST['adresse'] . "\nOrt: " . $_POST['ort'] . "\nPLZ: " . $_POST['plz'];




  if(!$mail->Send())
  {
     echo "Die Email konnte nicht gesendet werden";
     echo "Fehler: " . $mail->ErrorInfo;
  }
  else
  {
     echo "Vielen Dank f&uuml;r Ihre Bestellung.<br><br>Bitte &Uuml;berweisen Sie den Betrag von ";
  }
?>
  View user's profile Private Nachricht senden
Anzeige
Anzeige
rob

Dabei seit: 11.12.2003
Ort: ~/
Alter: 46
Geschlecht: Männlich
Verfasst Mo 03.03.2008 22:58
Titel

Antworten mit Zitat Zum Seitenanfang

sieht gefährlich aus...

Ich habe natürlich keinen Einblick in die Methoden der PHPMailer-Klasse, aber für mich scheint es so, als würden dort Daten aus dem Formular ungeprüft und unbereinigt übernommen werden, was einen Angriff per Mail-Header-Injection möglich machen könnte.
Das würde ich in jedem Fall mal überprüfen.
Zeilen wie
Code:
$mail->From = $_POST['Email'];
hinterlassen keinen guten Eindruck bei mir.
Aber ich kenne die Methoden der Klasse halt nicht...
  View user's profile Private Nachricht senden
therapiekind

Dabei seit: 14.03.2006
Ort: In deinem Kopf
Alter: -
Geschlecht: -
Verfasst Mo 03.03.2008 23:32
Titel

Antworten mit Zitat Zum Seitenanfang

rob hat geschrieben:
sieht gefährlich aus...

Ich habe natürlich keinen Einblick in die Methoden der PHPMailer-Klasse, aber für mich scheint es so, als würden dort Daten aus dem Formular ungeprüft und unbereinigt übernommen werden, was einen Angriff per Mail-Header-Injection möglich machen könnte.
Das würde ich in jedem Fall mal überprüfen.
Zeilen wie
Code:
$mail->From = $_POST['Email'];
hinterlassen keinen guten Eindruck bei mir.
Aber ich kenne die Methoden der Klasse halt nicht...


Ich hab letztens erst mit'm PHPMailer rumgespielt. Super Klasse, aber ich glaube, die prüft eingegebene Daten nicht auf "Dreck". Und 'n Blick in den Quellcode sagt dasselbe. Also tatsächlich sehr leichtsinnig, die POST-Daten ungefragt und ungeprüft zu übernehmen.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
vzczcobs

Dabei seit: 25.10.2006
Ort: Donaueschingen
Alter: 49
Geschlecht: Männlich
Verfasst Di 04.03.2008 09:14
Titel

Antworten mit Zitat Zum Seitenanfang

Hallo Liebe MGi Gemeinde,
zu diesem Thread wollte ich mal eine Grundlegende Frage zu EMail-Header Injection stellen:

Ist es möglich, solange die EMail an den Formularbereitsteller geht, also z.B. via KONSTANTE an mich, kann man über ein EMail Header Injection die Mail umleiten und SPAM darüber verteilen in meinem Namen?
  View user's profile Private Nachricht senden
therapiekind

Dabei seit: 14.03.2006
Ort: In deinem Kopf
Alter: -
Geschlecht: -
Verfasst Mi 05.03.2008 00:09
Titel

Antworten mit Zitat Zum Seitenanfang

vzczcobs hat geschrieben:
Ist es möglich, solange die EMail an den Formularbereitsteller geht, also z.B. via KONSTANTE an mich, kann man über ein EMail Header Injection die Mail umleiten und SPAM darüber verteilen in meinem Namen?


Solange allein du bestimmst, was in den Header kommt (und dazu gehört nicht nur das "To"-Feld), bist du so ziemlich auf der sicheren Seite.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
rob

Dabei seit: 11.12.2003
Ort: ~/
Alter: 46
Geschlecht: Männlich
Verfasst Mi 05.03.2008 00:24
Titel

Antworten mit Zitat Zum Seitenanfang

Das kann man so nicht sagen...
Eventuell ist der Empfänger eine "Konstante" wie du sagst und vielleicht kann man trotzdem da was reinschmugglen.
In jedem Fall müssen IMMER ALLE Daten die von außen kommen, überprüft und bereinigt werden. Niemals darfst du einfach was ungeprüft in deine Abfragen,Funktionsaufrufe,... einbauen.
Zur Vorbeugung einer Mailhead-Injection ist es beispielsweise wichtig, daß u.a. alle Zeilenumbrüche gefiltert werden, bevor die Daten an die mail()-Funktion übergeben werden, da Mailheader durch Umbrüche voneinander getrennt werden.

Benutze die Suchfunktion dieses Boards und suche nach meinen Beiträgen zur Mailheader-Injection. Dazu habe ich mehr als einmal was geschrieben.
  View user's profile Private Nachricht senden
 
Ähnliche Themen HTML-E-Mail | Textumbrüche bei einem langen E-Mail-Text
BCC mail mit php
[PHP] E-Mail in DB
Mail via Php
[PHP] Probs mit mail()
HTML Mail
Neues Thema eröffnen   Neue Antwort erstellen
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.