AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren

[PHP] Ist mein Mailskript sicher?

Ein Thema von Luckie · begonnen am 23. Sep 2010 · letzter Beitrag vom 23. Sep 2010
Antwort Antwort
Seite 1 von 3  1 23   
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#1

[PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 11:04
Ich habe folgendes Mailskript geschrieben:
Code:
<?php
   /* 
    * Mailskript für michael-puff.de
    * Autor: Michael Puff
    * Datum: 2010-09-23
    */
    
   define("TO", "webmaster@michael-puff.de");
   define("INVALID_ADDRESS_TEXT", "<p>Die angegebene E-Mail Adresse ist ungültig</p>");
   define("INVALID_FIELDS_TEXT", "<p>Füllen Sie mindestens die mit * gekennzeichneten Felder aus und überprüfen Sie ihre E-Mail Adresse auf Gültigkeit.</p>
   <p>Benutzen Sie die Zurück-Schaltefläche Ihres Browsers, um zum Kontaktformular zurück zu gelangen.</p>");
   define("SUCCESS_TEXT", "<p>Die E-Mail wurde erfolgreich versendet.</p>");
   define("SEND_ERROR_TEXT", "<p>Es ist ein Fehler beim Senden der E-Mail aufgetreten.</p>");
   define("CHARSET", "UTF-8");
   
   $from = $_POST['from'];
   $yourname = $_POST['yourname'];
   $subject = $_POST['subject'];   
   $msg = $_POST['text'];   
   $msg = stripslashes($msg);

   function validateEmail($email) {
      $regexp = "^([_a-z0-9-]+)(\.[_a-z0-9-]+)*@([a-z0-9-]+)(\.[a-z0-9-]+)*(\.[a-z]{2,4})$";
      $valid = 0;
      if (eregi($regexp, $email)) {
         list($username,$domaintld) = split("@",$email);
         if (getmxrr($domaintld,$mxrecords))
            $valid = 1;
      } else {
         $valid = 0;
      }
      return $valid;
   }
   
   function htmlOutput($text) {
      echo "<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">\n";
      echo "<html xmlns=\"http://www.w3.org/1999/xhtml\" dir=\"ltr\" lang=\"de\">\n";
      echo "\t<head>\n";
      echo "\t\t<meta http-equiv=\"content-type\" content=\"text/html; charset=UTF-8\" />\n";
      echo "\t\t<meta http-equiv=\"Content-Style-Type\" content=\"text/css\" />\n";
      echo "\t\t<meta name=\"author\" content=\"Michael Puff\" />\n";
      echo "\t\t<meta name=\"robots\" content=\"follow\" />\n";
      echo "\t\t<meta name=\"language\" content=\"de\" />\n";
      echo "\t\t<meta name=\"keywords\" content=\"\" />\n";
      echo "\t\t<meta name=\"description\" content=\"\" />\n";
      echo "\t\t<link rel=\"stylesheet\" type=\"text/css\" href=\"/data/stylesheet.css\" media=\"screen\" />\n";
      echo "\t\t<link rel=\"stylesheet\" type=\"text/css\" href=\"/data/print.css\" media=\"print\" />\n";
      echo "\t\t<title>E-Mail versenden</title>\n";
      echo "\t</head>\n";
      echo "\t<body>\n";
      include ("nav.html");
      echo "\t\t\t<h1>E-Mail versenden</h1>\n";
      echo "\t\t<hr>\n";
      echo "\t\t".$text."\n";
      echo "\t\t<hr>\n";
      echo "\t\t<center>".date("r", filectime("mail.php"))."</center>\n";
      echo "\t</body>\n";
      echo "</html>\n";
   }
   
   function sendMail($to, $subject, $msg, $yourname, $from) {
      $headers = "MIME-Version: 1.0\n".
      "Content-Type: text/plain; charset=".CHARSET."\n".
      "From: \"".$yourname."\" <".$from.">\n".
      "Date: ".date("r")."\n";
      return @mail($to, $subject, $msg, $headers);
   }
   
   if(!validateEmail($from)) {
      htmlOutput(INVALID_ADDRESS_TEXT);
      die();
   }
   
   if (empty($from) || empty($subject) || empty($msg) || (!validateEmail($from)))
   {
      htmlOutput(INVALID_FIELDS_TEXT);
      die();
   }
   
   if (sendMail(TO, $subject, $msg, $yourname, $from)) {
      htmlOutput(SUCCESS_TEXT);
      die();
   }
   else {
      htmlOutput(ERROR_SEND_TEXT);  
      die();      
   }
?>
Ist das sicher oder gibt es irgendwelche Sicherheitslücken, mit denen man eventuell Unsinn anstellen könnte?
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von arbu man
arbu man

Registriert seit: 3. Nov 2004
Ort: Krefeld
1.108 Beiträge
 
Delphi 7 Professional
 
#2

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:06
Also wenn ich das richtig sehe könnte man bei $_POST['yourname'] bel. Zeichenfolgen senden. Also auch \n damit könnte man auch Header Einträge hinzufügen. Wenn ich CCs und BCCs hinzufüge könnte ich das Skript wohl zum Spamversand nutzen. Wenn ich statt den Header \n\n einfüge könnte ich vielleicht dir eine HTML Mail schreiben die was auch immer macht.

...
Björn
>> http://bsnx.net <<
Virtual DP Stammtisch v1.0"iw" am 19.09.2007 - ich war dabei!
  Mit Zitat antworten Zitat
Benutzerbild von SirThornberry
SirThornberry
(Moderator)

Registriert seit: 23. Sep 2003
Ort: Bockwen
12.235 Beiträge
 
Delphi 2006 Professional
 
#3

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:36
gleiches gilt auch für das "from" wenn ich nicht irre.
Jens
Mit Source ist es wie mit Kunst - Hauptsache der Künstler versteht's
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#4

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:37
Das würde aber für alle Felder bis auf das Absenderadressenfeld gelten oder?

Wie kann man das jetzt sicher machen?

$from wird ja auf eine gültige E-Mail Adresse überprüft.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
Benutzerbild von Neutral General
Neutral General

Registriert seit: 16. Jan 2004
Ort: Bendorf
5.219 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#5

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:44
Du könntest die Zeilenumbrüche aus den betroffenen Feldern rausfiltern.
Michael
"Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination,
but because their imagination reveals worlds that others cannot see."
  Mit Zitat antworten Zitat
Benutzerbild von SirThornberry
SirThornberry
(Moderator)

Registriert seit: 23. Sep 2003
Ort: Bockwen
12.235 Beiträge
 
Delphi 2006 Professional
 
#6

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:46
Die restlichen Felder sollten durch die mail-funktion abgesichert sein. Lediglich bei den zusätzlichen Headern kann sich eben etwas einschleichen. Das From ist natürlich wirklich nicht betroffen wenn die Prüfung auf eine gültige E-Mailadresse ohne Zeilenumbrüche etc. durchgeführt wird.
Beim Namen solltest du prüfen ob ein Zeilenumbruch, <, oder > vorkommen. Auch das filtern von " und ' sollte nicht schaden.
Jens
Mit Source ist es wie mit Kunst - Hauptsache der Künstler versteht's
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#7

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:54
Gibt es dafür von PHP schon fertige Funktionen? Ich arbeite nicht allzu regelmäßig mit PHP, deswegen frage ich da mal nach, weil ich nicht so den Überblick habe, was es gibt und was nicht.
Michael
Ein Teil meines Codes würde euch verunsichern.
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.851 Beiträge
 
Delphi 11 Alexandria
 
#8

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 12:58
Sollte mit Regulären Ausdrücken kein Problem sein. Es gibt auch fertige Lösungen (pear o.ö.)
Markus Kinzler
  Mit Zitat antworten Zitat
Benutzerbild von Luckie
Luckie

Registriert seit: 29. Mai 2002
37.621 Beiträge
 
Delphi 2006 Professional
 
#9

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 13:13
Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?

Habe jetzt folgende:

Code:
   $yourname = $_POST['yourname'];
   $yourname = stripslashes($yourname);
   $yourname = strip_tags($yourname);
   
   $subject = $_POST['subject'];
   $subject = stripslashes($subject);
   $subject = strip-tags($subject);
   
   $msg = $_POST['text'];
   $msg = stripslashes($msg);
   $msg = strip_tags($msg);
Michael
Ein Teil meines Codes würde euch verunsichern.

Geändert von Luckie (23. Sep 2010 um 13:25 Uhr)
  Mit Zitat antworten Zitat
Andreas L.
(Gast)

n/a Beiträge
 
#10

AW: [PHP] Ist mein Mailskript sicher?

  Alt 23. Sep 2010, 13:48
Code:
  htmlentities();
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:29 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz