[PHP] Email senden

**mumu**

probier mal

stripslashes(text)

addslashes(text)

gruß

**Luckie**

stripslashes entfernt nur die Backslashes, so dass dann das bei rauskommt:

Zitat:

Von: Michael Puff <mpuff@lgmx.de>rnrnText:rnDies ist nut ein Testtext.

Und addslashes ändert dann auch nichts mehr dran.

**mumu**

probier mal nur

addslashes(text)

sorry, hab mich da weng blöd ausgedrückt. nicht beides hintereinander.

**Luckie**

Also, die Lösung von ripper löst schon mal das Problem mit den Zeilenumbrüchen. Nur das mit den "escapen" habe ich nochnicht hinbekommen:

Zitat von original:

Note that 'e-mail injection' exploits don't need a 'return' byte at all, so there's no use scanning for \n or \r. The safest way to prevent the exploit is to eregi() search all fields for 'MIME-Version: ' or something else found in e-mail headers, and intercept the spammer that way. Here's the simplest way I have:

Mit addslashes:

Zitat:

Note that \'e-mail injection\' exploits don\'t need a \'return\' byte at all, so there\'s no use scanning for \\n or \\r. The safest way to prevent the exploit is to eregi() search all fields for \'MIME-Version: \' or something else found in e-mail headers, and intercept the spammer that way. Here\'s the simplest way I have:

Mit stripslashes:

Zitat:

Note that 'e-mail injection' exploits don't need a 'return' byte at all, so there's no use scanning for \n or \r. The safest way to prevent the exploit is to eregi() search all fields for 'MIME-Version: ' or something else found in e-mail headers, and intercept the spammer that way. Here's the simplest way I have:

Ergo mit stripslashes geht es.

Besten dank.

So sieht es jetzt aus:

http://www.luckie-online.de/impressum.php
Und das Script dazu:

markieren

Code:

			<?php

  /*

  Copyright (c) 2005: Michael Puff

  Url: [url]http://www.luckie-online.de[/url]

  Mail: [email]mpuff@luckie-online.de[/email]

  Version: 1.0 - 2005-11-07

*/

  $to = 'mpuff@luckie-online.de';

  $headers = "MIME-Version: 1.0\r\n". 

   "Content-Type: text/plain; charset=iso-8859-1\r\n". 

   "From: \"Kontaktformular luckie-online.de\" <".$from.">\r\n". 

   "To: ".$to." <".$to.">\r\n". 

   "Date: ".date("r")."\r\n";

  $msg = 'Von: '."\n".$yourname.' <'.$from.'>'."\n\n".'Text:'."\n".$text;

  $msg = stripslashes($msg);

?>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

  <head>

    <title>Homepage von Michael Puff</title>

    <link rel="stylesheet" type="text/css" href="/css/dir.css">

  </head>

  <body>

  <h1>Homepage von Michael Puff</h1>

  <?php

    $dir = getcwd();

    $start = strpos(strtolower($dir), '/html/')+5;

    $s = substr($dir, 0, $start);

    include $s.'/includes/nav.shtml';

    include $s.'/includes/copyright.inc';

  ?>

  <h2>E-Mail senden</h2>

  [img]/pics/line.png[/img]

<?php

  if (empty($from) || empty($text))

  {

     echo "Bitte füllen Sie mindestens die Felder 'E-Mail Adresse' und 'Text' aus.";

  }

  else if (!mail($to, $subject, $msg, $headers))

  {

    echo '

Es ist ein Fehler beim Senden der E-Mail aufgetreten.</p>';

  }

  else

  {

    echo '

Die E-Mail wurde erfolgreich gesendet.</p>';

  }

?>

  [img]/pics/line.png[/img]

  <table class="tblfooter">

    <tr>

    <?php

      echo '<td class="total"></td>'.'<td class="copy">'.$cr.'</td>';

    ?>

    </tr>

  </table>

</body>

</html>

Ist der Header so wasserdicht oder kann da jemand das Formular missbrauchen? Es wäre nett, wenn ein, zwei mir mal eine Testmail darüber schicken und mir Rückmeldung geben würden.

[edit=Admin]Code-Tags korrigiert. Mfg, Daniel[/edit]

**Luckie**

So, irgend eine nette namenlose Person hat mir eine Mail geschrieben. Oder sie war nicht nett und wollte mich nur ärgern. jedenfalls scheint es zu funktionieren. Kan mir mal jemand sagen, wie sicher das jetzt mit dem obigen Code ist?

**ripper8472**

sicher.

zwar kann dir jeder alles moegliche schicken und dich evtl sogar vollspammen, aber das ist keine frage von sicher/unsicher mehr.

**Pr0g**

In wie fern sicher?

Und du solltest dir angewöhnen die globalen Arrays $_GET und $_POST (in deinem Fall letzteres, da du die Daten aus dem Formular ja wohl auch per "post" abschickst, $_GET wäre für Daten, die über die URL kommen).

Also bspw. $_GET['text'] statt $text.

Zumal du so auch auf der sicheren Seite bist, falls deine Scripte mal auf einem Server laufen sollen, auf dem die Einstellung register_globals auf "off" gestellt wurde, denn dort sind die Werte nur üer globalem Array erreichbar. Infos dazu auch bspw.

hier.

**Luckie**

Zitat von ripper8472:

zwar kann dir jeder alles moegliche schicken und dich evtl sogar vollspammen, aber das ist keine frage von sicher/unsicher mehr.

Nun das ist wohl mit jedem Kontaktformular möglich. Ich meine nur, dass mein Formular nicht für Spammails missbraucht werden kann. Also, wie hier

http://de.php.net/manual/de/function.mail.php#55111 oder hier

http://securephp.damonkohler.com/ind...mail_Injection beschrieben.

**ripper8472**

Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung.

**Luckie**

Zitat von ripper8472:

Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung.

OK, werde ich machen. Danke für eure Hilfe.

[PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Re: [PHP] Email senden

Forumregeln

mumu Registriert seit: 28. Okt 2003 Ort: Bamberg 519 Beiträge	#11 Re: [PHP] Email senden 7. Nov 2005, 12:36 probier mal stripslashes(text) addslashes(text) gruß
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#12 Re: [PHP] Email senden 7. Nov 2005, 13:19 stripslashes entfernt nur die Backslashes, so dass dann das bei rauskommt: Zitat: Von: Michael Puff <mpuff@lgmx.de>rnrnText:rnDies ist nut ein Testtext. Und addslashes ändert dann auch nichts mehr dran. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

mumu Registriert seit: 28. Okt 2003 Ort: Bamberg 519 Beiträge	#13 Re: [PHP] Email senden 7. Nov 2005, 13:24 probier mal nur addslashes(text) sorry, hab mich da weng blöd ausgedrückt. nicht beides hintereinander.
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#15 Re: [PHP] Email senden 7. Nov 2005, 19:46 So, irgend eine nette namenlose Person hat mir eine Mail geschrieben. Oder sie war nicht nett und wollte mich nur ärgern. jedenfalls scheint es zu funktionieren. Kan mir mal jemand sagen, wie sicher das jetzt mit dem obigen Code ist? Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat

ripper8472 Registriert seit: 17. Aug 2003 275 Beiträge	#16 Re: [PHP] Email senden 7. Nov 2005, 19:53 sicher. zwar kann dir jeder alles moegliche schicken und dich evtl sogar vollspammen, aber das ist keine frage von sicher/unsicher mehr. Christoph
	Zitat

ripper8472 Registriert seit: 17. Aug 2003 275 Beiträge	#19 Re: [PHP] Email senden 7. Nov 2005, 20:31 Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung. Christoph
	Zitat

Luckie Registriert seit: 29. Mai 2002 37.621 Beiträge Delphi 2006 Professional	#20 Re: [PHP] Email senden 7. Nov 2005, 20:33 Zitat von ripper8472: Luckie: wenn du noch Pr0gs tipp beherzigst ($_GET/$_POST/$_REQUEST/...), dann ist das script wirklich in ordnung. OK, werde ich machen. Danke für eure Hilfe. Michael Ein Teil meines Codes würde euch verunsichern.
	Zitat