Autor |
Nachricht |
Pixelpole
Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht:
|
Verfasst Di 30.09.2008 10:25
Titel
|
|
|
Wenn du nix fertiges wie phpmailer nutzen willst biste selber schuld.
Ich geb dir Brief und Siegel drauf das wann du da jetzt selber friemelt nix vernünftiges bei rum kommt.
Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen. Captchas sind heutzutage ein mehr als unzureichender Schutz, Die kriegen mittlerweile veradmmt viel geknackt. Sehr viel effektiver sind einfache Sicherheiutsfragen wie zum Beispiel bei praegnanz.de: Wie lautet der Vorname von Franz Beckenbauer. Diese Lösung ist sowohl einfacher als auch effektiver. Dann solltest du natürlich noch verhindern das dein Formular mehrfach hintereinander abgeschickt wird. Da dürfte es reichen die Globale $_SERVER['REMOTE_ADDR'] abzugleichen (Das solltest du übrigens auch tun wenn du phpmailer benutzt da der eine solche Abfrage nicht durchführt).
@audio/pejot: Um ne Klasse zu benutzen sollte man auch wissen was ne Klasse ist
|
|
|
|
|
MarcelP
Threadersteller
Dabei seit: 15.07.2008
Ort: -
Alter: 30
Geschlecht:
|
Verfasst Di 30.09.2008 13:09
Titel
|
|
|
also ich hab mir jetzt mal das phpmailer paket runtergeladen und das php dokument in dem sample ordner soweit an meine daten angepasst (weiß halt nicht ob das alles richtig ist)
nur wenn ich jetzt die beigelegte fom in meine site einbaue und zu dem php dokument verweise bekomme ich im browser bei abschicken nur das php doument angezeigt...
liegt das daran, dass die site noch nicht online ist?
(soryy falls ich so dermaßen dumme fragen stellen, aber kenn mich halt mit php überhauptnicht aus)
danke
|
|
|
|
|
Anzeige
|
|
|
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht:
|
Verfasst Di 30.09.2008 13:28
Titel
|
|
|
Pixelpole hat geschrieben: | Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen. |
Und wie bitte schützt das entfernen von Whitespaces am Anfand oder Ende des Strings vor Header Injections?
@ MarcelP: Wird dir das Script angezeigt führt der Server kein PHP aus.
Zuletzt bearbeitet von m am Di 30.09.2008 13:29, insgesamt 1-mal bearbeitet
|
|
|
|
|
xaos
Dabei seit: 06.10.2004
Ort: Kargath
Alter: -
Geschlecht: -
|
|
|
|
|
Pixelpole
Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht:
|
Verfasst Di 30.09.2008 14:25
Titel
|
|
|
m hat geschrieben: | Pixelpole hat geschrieben: | Verwende wenigstens die Funktion trim um dich vor E-Mail Injections zu schützen. |
Und wie bitte schützt das entfernen von Whitespaces am Anfand oder Ende des Strings vor Header Injections?
|
weil trim() eben nicht nur whitespaces entfernt
http://de.php.net/manual/en/function.trim.php
|
|
|
|
|
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht:
|
Verfasst Di 30.09.2008 14:27
Titel
|
|
|
Pixelpole hat geschrieben: | weil trim() eben nicht nur whitespaces entfernt |
Ist mir klar, ändert aber nichts an der Tatsache dass es keine Header Injection verhindert.
|
|
|
|
|
Pixelpole
Dabei seit: 25.10.2004
Ort: Trier
Alter: 37
Geschlecht:
|
Verfasst Di 30.09.2008 14:58
Titel
|
|
|
m hat geschrieben: | Pixelpole hat geschrieben: | weil trim() eben nicht nur whitespaces entfernt |
Ist mir klar, ändert aber nichts an der Tatsache dass es keine Header Injection verhindert. |
Um mal näher darauf einzugehen ein wenig code aus phpmailer:
Code: |
/**
* Strips newlines to prevent header injection.
* @access public
* @param string $str String
* @return string
*/
public function SecureHeader($str) {
$str = trim($str);
$str = str_replace("\r", "", $str);
$str = str_replace("\n", "", $str);
return $str;
}
|
Hier wird noch ein str_replace genutzt um aus der mitte des string \r und \n zu entfernen...diese habe ich leider vergessen zu erwähnen (schande über mein haupt )
Zu diesem Zeitpunkt ist man nicht mehr in der lage zusätzliche header zeilen einzufügen. Jetzt kann man auch noch sicherstellen das bestimmte headerfelder rausgekürzt werden um auch wirklich 100% auf nummer sicher zu gehen.
phpmailer tut es zwar nicht, ist aber trotzdem keine schlechte idee.
Wir stellen fest: Pole der Horst hat das str_replace vergessen, und phpmailer könnte noch mit einem zusätzlichen sicherheits feature ausgestattet werden.
Oder ist was die Thematik betrifft mein Wissen etwas lückenhaft (Will ich nicht zu 100% ausschliessen )
|
|
|
|
|
m
Moderator
Dabei seit: 18.11.2004
Ort: -
Alter: -
Geschlecht:
|
Verfasst Di 30.09.2008 15:04
Titel
|
|
|
So ist es korrekt, denn die Injection befindet sich natürlich mitten im String.
|
|
|
|
|
|
|
|
Ähnliche Themen |
PHP-Kontaktformular
Kontaktformular
Kontaktformular
kontaktformular
Kontaktformular
PHP Kontaktformular
|
|