mediengestalter.info
Datenschutzerklärung
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter
Aktuelles Datum und Uhrzeit: Do 25.04.2024 09:49 Benutzername: Passwort: Auto-Login

Thema: Kontaktformular sicher? vom 29.09.2008


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> Kontaktformular sicher?
Seite: Zurück  1, 2, 3, 4  Weiter
Autor Nachricht
Pixelpole

Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht: Männlich
Verfasst Di 30.09.2008 10:25
Titel

Antworten mit Zitat Zum Seitenanfang
Wenn du nix fertiges wie phpmailer nutzen willst biste selber schuld.

Ich geb dir Brief und Siegel drauf das wann du da jetzt selber friemelt nix vernünftiges bei rum kommt.

Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen. Captchas sind heutzutage ein mehr als unzureichender Schutz, Die kriegen mittlerweile veradmmt viel geknackt. Sehr viel effektiver sind einfache Sicherheiutsfragen wie zum Beispiel bei praegnanz.de: Wie lautet der Vorname von Franz Beckenbauer. Diese Lösung ist sowohl einfacher als auch effektiver. Dann solltest du natürlich noch verhindern das dein Formular mehrfach hintereinander abgeschickt wird. Da dürfte es reichen die Globale $_SERVER['REMOTE_ADDR'] abzugleichen (Das solltest du übrigens auch tun wenn du phpmailer benutzt da der eine solche Abfrage nicht durchführt).

@audio/pejot: Um ne Klasse zu benutzen sollte man auch wissen was ne Klasse ist * Ich bin ja schon still... *
  View user's profile Private Nachricht senden
MarcelP
Threadersteller

Dabei seit: 15.07.2008
Ort: -
Alter: 30
Geschlecht: Männlich
Verfasst Di 30.09.2008 13:09
Titel

Antworten mit Zitat Zum Seitenanfang
also ich hab mir jetzt mal das phpmailer paket runtergeladen und das php dokument in dem sample ordner soweit an meine daten angepasst (weiß halt nicht ob das alles richtig ist)

nur wenn ich jetzt die beigelegte fom in meine site einbaue und zu dem php dokument verweise bekomme ich im browser bei abschicken nur das php doument angezeigt...

liegt das daran, dass die site noch nicht online ist?

(soryy falls ich so dermaßen dumme fragen stellen, aber kenn mich halt mit php überhauptnicht aus)

danke
  View user's profile Private Nachricht senden
Anzeige
Anzeige
m
Moderator

Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst Di 30.09.2008 13:28
Titel

Antworten mit Zitat Zum Seitenanfang
Pixelpole hat geschrieben:
Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen.


Und wie bitte schützt das entfernen von Whitespaces am Anfand oder Ende des Strings vor Header Injections?


@ MarcelP: Wird dir das Script angezeigt führt der Server kein PHP aus.

Zuletzt bearbeitet von m am Di 30.09.2008 13:29, insgesamt 1-mal bearbeitet
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
xaos

Dabei seit: 06.10.2004
Ort: Kargath
Alter: -
Geschlecht: -
Verfasst Di 30.09.2008 14:03
Titel

Antworten mit Zitat Zum Seitenanfang
Zum lokalen Testen von Webseiten/PHP-Sachen könnte man dann XAMPP nehmen:

http://www.apachefriends.org/de/xampp.html
  View user's profile Private Nachricht senden
Pixelpole

Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht: Männlich
Verfasst Di 30.09.2008 14:25
Titel

Antworten mit Zitat Zum Seitenanfang
m hat geschrieben:
Pixelpole hat geschrieben:
Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen.


Und wie bitte schützt das entfernen von Whitespaces am Anfand oder Ende des Strings vor Header Injections?


weil trim() eben nicht nur whitespaces entfernt *zwinker*

http://de.php.net/manual/en/function.trim.php
  View user's profile Private Nachricht senden
m
Moderator

Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst Di 30.09.2008 14:27
Titel

Antworten mit Zitat Zum Seitenanfang
Pixelpole hat geschrieben:
weil trim() eben nicht nur whitespaces entfernt *zwinker*


Ist mir klar, ändert aber nichts an der Tatsache dass es keine Header Injection verhindert.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Pixelpole

Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht: Männlich
Verfasst Di 30.09.2008 14:58
Titel

Antworten mit Zitat Zum Seitenanfang
m hat geschrieben:
Pixelpole hat geschrieben:
weil trim() eben nicht nur whitespaces entfernt *zwinker*


Ist mir klar, ändert aber nichts an der Tatsache dass es keine Header Injection verhindert.


Um mal näher darauf einzugehen ein wenig code aus phpmailer:

Code:

  /**
   * Strips newlines to prevent header injection.
   * @access public
   * @param string $str String
   * @return string
   */
  public function SecureHeader($str) {
    $str = trim($str);
    $str = str_replace("\r", "", $str);
    $str = str_replace("\n", "", $str);
    return $str;
  }



Hier wird noch ein str_replace genutzt um aus der mitte des string \r und \n zu entfernen...diese habe ich leider vergessen zu erwähnen (schande über mein haupt Ooops )

Zu diesem Zeitpunkt ist man nicht mehr in der lage zusätzliche header zeilen einzufügen. Jetzt kann man auch noch sicherstellen das bestimmte headerfelder rausgekürzt werden um auch wirklich 100% auf nummer sicher zu gehen.

phpmailer tut es zwar nicht, ist aber trotzdem keine schlechte idee.

Wir stellen fest: Pole der Horst hat das str_replace vergessen, und phpmailer könnte noch mit einem zusätzlichen sicherheits feature ausgestattet werden.

Oder ist was die Thematik betrifft mein Wissen etwas lückenhaft (Will ich nicht zu 100% ausschliessen Ooops )
  View user's profile Private Nachricht senden
m
Moderator

Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst Di 30.09.2008 15:04
Titel

Antworten mit Zitat Zum Seitenanfang
So ist es korrekt, denn die Injection befindet sich natürlich mitten im String.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
 
Ähnliche Themen PHP-Kontaktformular
Kontaktformular
Kontaktformular
kontaktformular
Kontaktformular
PHP Kontaktformular
Neues Thema eröffnen   Neue Antwort erstellen Seite: Zurück  1, 2, 3, 4  Weiter
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.

Mediengestalter.info ist ein Projekt von Webformatik :: Forensoftware: phpBB