Delphi-PRAXiS
Seite 2 von 3     12 3      
40 Beiträge dieses Themas auf einer Seite anzeigen

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP] Ist mein Mailskript sicher? (https://www.delphipraxis.net/154741-%5Bphp%5D-ist-mein-mailskript-sicher.html)

Luckie 23. Sep 2010 12:51
AW: [PHP] Ist mein Mailskript sicher?
 
Ich glaube genau das will ich nicht:
Zitat:
htmlentities — Wandelt alle geeigneten Zeichen in entsprechende HTML-Codes um
Ich will sie ja raus haben.

arbu man 23. Sep 2010 12:58
AW: [PHP] Ist mein Mailskript sicher?
 
Zitat:
Zitat von Luckie (Beitrag 1051487)
Also mit stripslashes könnte ich ja schon mal alle PHP-Steuerzeichen unbrauchbar machen. Gibt es auch was um HTML-Code zu entfernen? Denn dann hätte ich ja alle Sicherheitslücken beseitigt oder?

Habe jetzt folgende:

Code:
   $yourname = $_POST['yourname'];
   $yourname = stripslashes($yourname);
   $yourname = strip_tags($yourname);
   
   $subject = $_POST['subject'];
   $subject = stripslashes($subject);
   $subject = strip-tags($subject);
   
   $msg = $_POST['text'];
   $msg = stripslashes($msg);
   $msg = strip_tags($msg);
Ich könnte auch einfach im Post-Request einen normalen Zeilenumbruch schicken...
Am besten verwendest du eine fertige Lösung wie die Klasse PHPMailer

Luckie 23. Sep 2010 13:02
AW: [PHP] Ist mein Mailskript sicher?
 
Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.

arbu man 23. Sep 2010 13:16
AW: [PHP] Ist mein Mailskript sicher?
 
Zitat:
Zitat von Luckie (Beitrag 1051505)
Ich wollte es eigentlich selber machen und nichts fertiges verwenden - auch zu Lernzwecken.
Es ist gar nicht so einfach Mails richtig zu versenden, Sonderzeichen sollten richtig codiert werden (z.B. =?UTF-8?Q?PMI_1__Pr=C3=BCfungstermin_verschoben... [wobei man bei Mails wohl eher die ISO-Codierung verwenden sollte]), sonst kann es zu Fehlanzeigen kommen.

Und zeichen wie 0x0A (#10) und 0x0D (#13) müssen auf jeden Fall raus. Aber wirklich gut kenn ich mich mit Mails auch nicht aus, also keine Gewähr.

lg Björn

Luckie 23. Sep 2010 13:27
AW: [PHP] Ist mein Mailskript sicher?
 
Was müsste man bei dieser Funktion noch ergänzen, damit man saubere Daten hat:
Code:
   function cleanPostData($data) {
      $temp = stripslashes($data);
      $temp = strip_tags($temp);
      return $temp;
   }

arbu man 23. Sep 2010 13:35
AW: [PHP] Ist mein Mailskript sicher?
 
auf jeden Fall noch $temp = str_replace("\n", "", $temp);

Luckie 23. Sep 2010 13:39
AW: [PHP] Ist mein Mailskript sicher?
 
Wenn ich die Slashes entferne, dann wird doch aus "\n" "n" und ist somit auch unschädlich. Oder irre ich da jetzt?

arbu man 23. Sep 2010 13:41
AW: [PHP] Ist mein Mailskript sicher?
 
Also bei meinem Test wird:
Code:
echo cleanPostData("a:b
c:d");
von deiner Funktion nicht verändert. Und die Eingabe könnte ich deinem Script ohne weiteres per POST schicken...

Luckie 23. Sep 2010 13:44
AW: [PHP] Ist mein Mailskript sicher?
 
Aber das ist kein \n-Zeilenumbruch. Für deinen Fall brauche ich ja noch was.

arbu man 23. Sep 2010 13:46
AW: [PHP] Ist mein Mailskript sicher?
 
Mit meiner Zeile wird der Zeilenumbruch der Eingabe aber entfernt :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:32 Uhr.
Seite 2 von 3     12 3      
40 Beiträge dieses Themas auf einer Seite anzeigen

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz