php mail() sicher machen

Dieses Thema im Forum "Web-Programmierung" wurde erstellt von asylum, 31.01.2007.

  1. asylum

    asylum Thread Starter MacUser Mitglied

    Beiträge:
    747
    Zustimmungen:
    1
    MacUser seit:
    10.06.2005
    Habt ihr ne Idee wie ich die mail() funktion sicherer machen kann?
    Also das man zb keine BBC usw machen kann und sowas. also die funktion nicht highjacked

    danke!

    asylum
     
  2. michaeljk

    michaeljk MacUser Mitglied

    Beiträge:
    832
    Zustimmungen:
    28
    MacUser seit:
    21.10.2006
    Sämtliche Strings prüfen die der Funktion übergeben werden:

    bool mail ( string to, string subject, string message [, string additional_headers [, string additional_parameters]] )


    Insbesondere sollte man ausschliessen, das per Eingabefeld weitere Header-Zeilen hinzugefügt werden könnten, also auf Sonderzeichen und Umbrüche prüfen ("\n" usw.).
     
  3. asylum

    asylum Thread Starter MacUser Mitglied

    Beiträge:
    747
    Zustimmungen:
    1
    MacUser seit:
    10.06.2005
    wie saehe das denn konkret aus?
     
  4. michaeljk

    michaeljk MacUser Mitglied

    Beiträge:
    832
    Zustimmungen:
    28
    MacUser seit:
    21.10.2006
    Nachtrag:
    Hier gibt es eine sehr gute Erläuterung zu der Problematik:

    http://www.drweb.de/webmaster/kontakt-formulare.shtml

    Mittels Captcha-Grafiken kann man beispielsweise auch sicherstellen, das mit höchster Wahrscheinlichkeit ein Mensch vor so einem Formular sitzt und etwas absenden möchte.
     
    Zuletzt von einem Moderator bearbeitet: 15.03.2016
  5. Jakob

    Jakob MacUser Mitglied

    Beiträge:
    1.066
    Zustimmungen:
    21
    MacUser seit:
    05.01.2004
    Captchas helfen mittlerweile auch nicht mehr besonders.

    Bei mir hilft ein addslashes() für die header, da damit Anführungszeichen (möglicher injection-Angriff) und backslashes („\“, wie z.B. in „\n“) entschärft werden.
     
  6. asylum

    asylum Thread Starter MacUser Mitglied

    Beiträge:
    747
    Zustimmungen:
    1
    MacUser seit:
    10.06.2005
    muss ich addslashes() dann auf alle meine Felder in dem Formular anwenden?
    Und das verhindert sowas wie nen highjack durck bbc: ?
     
Die Seite wird geladen...

Diese Seite empfehlen