[PHP] Ist mein Mailskript sicher?

**Luckie**

Ich glaube genau das will ich nicht:

Zitat:

htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um

Ich will sie ja raus haben.

**arbu man**

Zitat von Luckie:

Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?

Habe jetzt folgende:

markieren

Code:

			   $yourname = $_POST['yourname'];

   $yourname = stripslashes($yourname);

   $yourname = strip_tags($yourname);

   $subject = $_POST['subject'];

   $subject = stripslashes($subject);

   $subject = strip-tags($subject);

   $msg = $_POST['text'];

   $msg = stripslashes($msg);

   $msg = strip_tags($msg);

Ich könnte auch einfach im Post-Request einen normalen Zeilenumbruch schicken...
Am besten verwendest du eine fertige Lösung wie die Klasse PHPMailer

**Luckie**

Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.

**arbu man**

Zitat von Luckie:

Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.

Es ist gar nicht so einfach Mails richtig zu versenden, Sonderzeichen sollten richtig codiert werden (z.B. =?UTF-8?Q?PMI_1__Pr=C3=BCfungstermin_verschoben... [wobei man bei Mails wohl eher die ISO-Codierung verwenden sollte]), sonst kann es zu Fehlanzeigen kommen.

Und zeichen wie 0x0A (#10) und 0x0D (#13) müssen auf jeden Fall raus. Aber wirklich gut kenn ich mich mit Mails auch nicht aus, also keine Gewähr.

lg Björn

**Luckie**

Was müsste man bei dieser Funktion noch ergänzen, damit man saubere Daten hat:

markieren

Code:

			   function cleanPostData($data) {

      $temp = stripslashes($data);

      $temp = strip_tags($temp);

      return $temp;

   }

**arbu man**

auf jeden Fall noch $temp = str_replace("\n", "", $temp);

**Luckie**

Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?

**arbu man**

Also bei meinem Test wird:

markieren

Code:

			echo cleanPostData("a:b

c:d");

von deiner Funktion nicht verändert. Und die Eingabe könnte ich deinem Script ohne weiteres per POST schicken...

**Luckie**

Aber das ist kein \n-Zeilenumbruch. Für deinen Fall brauche ich ja noch was.

**arbu man**

Mit meiner Zeile wird der Zeilenumbruch der Eingabe aber entfernt

[PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

Forumregeln

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#11 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 12:51 Ich glaube genau das will ich nicht: Zitat: htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um Ich will sie ja raus haben. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#13 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:02 Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#15 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:27 Was müsste man bei dieser Funktion noch ergänzen, damit man saubere Daten hat: markieren Code: function cleanPostData($data) { $temp = stripslashes($data); $temp = strip_tags($temp); return $temp; } Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

arbu man Registriert seit: 3. Nov 2004 Ort: Krefeld 1.108 Beiträge Delphi 7 Professional	#16 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:35 auf jeden Fall noch $temp = str_replace("\n", "", $temp); Björn >> http://bsnx.net << Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#17 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:39 Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt? Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

arbu man Registriert seit: 3. Nov 2004 Ort: Krefeld 1.108 Beiträge Delphi 7 Professional	#18 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:41 Also bei meinem Test wird: markieren Code: echo cleanPostData("a:b c:d"); von deiner Funktion nicht verändert. Und die Eingabe könnte ich deinem Script ohne weiteres per POST schicken... Björn >> http://bsnx.net << Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#19 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:44 Aber das ist kein \n-Zeilenumbruch. Für deinen Fall brauche ich ja noch was. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

arbu man Registriert seit: 3. Nov 2004 Ort: Krefeld 1.108 Beiträge Delphi 7 Professional	#20 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:46 Mit meiner Zeile wird der Zeilenumbruch der Eingabe aber entfernt Björn >> http://bsnx.net << Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
	Zitat