[PHP] Ist mein Mailskript sicher?

**SirThornberry**

Die restlichen Felder sollten durch die mail-funktion abgesichert sein. Lediglich bei den zusätzlichen Headern kann sich eben etwas einschleichen. Das From ist natürlich wirklich nicht betroffen wenn die Prüfung auf eine gültige E-Mailadresse ohne Zeilenumbrüche etc. durchgeführt wird.
Beim Namen solltest du prüfen ob ein Zeilenumbruch, <, oder > vorkommen. Auch das filtern von " und ' sollte nicht schaden.

**Luckie**

Gibt es dafür von PHP schon fertige Funktionen? Ich arbeite nicht allzu regelmäßig mit PHP, deswegen frage ich da mal nach, weil ich nicht so den Überblick habe, was es gibt und was nicht.

**mkinzler**

Sollte mit Regulären Ausdrücken kein Problem sein. Es gibt auch fertige Lösungen (pear o.ö.)

**Luckie**

Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?

Habe jetzt folgende:

markieren

Code:

			   $yourname = $_POST['yourname'];

   $yourname = stripslashes($yourname);

   $yourname = strip_tags($yourname);

   $subject = $_POST['subject'];

   $subject = stripslashes($subject);

   $subject = strip-tags($subject);

   $msg = $_POST['text'];

   $msg = stripslashes($msg);

   $msg = strip_tags($msg);

markieren

Code:

htmlentities();

**Luckie**

Ich glaube genau das will ich nicht:

Zitat:

htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um

Ich will sie ja raus haben.

Zitat von Luckie:

Ich glaube genau das will ich nicht:

Zitat:

htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um

Ich will sie ja raus haben.

nein, das wandelt z. B. > in > um, damit werden also Tags wie z. B. <a>, <b>, etc.. unschädlich gemacht.

**arbu man**

Zitat von Luckie:

Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?

Habe jetzt folgende:

markieren

Code:

			   $yourname = $_POST['yourname'];

   $yourname = stripslashes($yourname);

   $yourname = strip_tags($yourname);

   $subject = $_POST['subject'];

   $subject = stripslashes($subject);

   $subject = strip-tags($subject);

   $msg = $_POST['text'];

   $msg = stripslashes($msg);

   $msg = strip_tags($msg);

Ich könnte auch einfach im Post-Request einen normalen Zeilenumbruch schicken...
Am besten verwendest du eine fertige Lösung wie die Klasse PHPMailer

**Luckie**

Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.

**arbu man**

Zitat von Luckie:

Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.

Es ist gar nicht so einfach Mails richtig zu versenden, Sonderzeichen sollten richtig codiert werden (z.B. =?UTF-8?Q?PMI_1__Pr=C3=BCfungstermin_verschoben... [wobei man bei Mails wohl eher die ISO-Codierung verwenden sollte]), sonst kann es zu Fehlanzeigen kommen.

Und zeichen wie 0x0A (#10) und 0x0D (#13) müssen auf jeden Fall raus. Aber wirklich gut kenn ich mich mit Mails auch nicht aus, also keine Gewähr.

lg Björn

[PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

AW: [PHP] Ist mein Mailskript sicher?

Forumregeln

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#2 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 11:54 Gibt es dafür von PHP schon fertige Funktionen? Ich arbeite nicht allzu regelmäßig mit PHP, deswegen frage ich da mal nach, weil ich nicht so den Überblick habe, was es gibt und was nicht. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.880 Beiträge Delphi 11 Alexandria	#3 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 11:58 Sollte mit Regulären Ausdrücken kein Problem sein. Es gibt auch fertige Lösungen (pear o.ö.) Markus Kinzler
	Zitat

Andreas L. (Gast) n/a Beiträge	#5 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 12:48 markieren Code: htmlentities();
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#6 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 12:51 Ich glaube genau das will ich nicht: Zitat: htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um Ich will sie ja raus haben. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

Andreas L. (Gast) n/a Beiträge	#7 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 14:07 Zitat von Luckie: Ich glaube genau das will ich nicht: Zitat: htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um Ich will sie ja raus haben. nein, das wandelt z. B. > in > um, damit werden also Tags wie z. B. <a>, <b>, etc.. unschädlich gemacht.
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#9 AW: [PHP] Ist mein Mailskript sicher? 23. Sep 2010, 13:02 Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat