php mail() sicher machen

  1. asylum

    asylum Thread Starter MacUser Mitglied

    Mitglied seit:
    10.06.2005
    Beiträge:
    747
    Zustimmungen:
    1
    Habt ihr ne Idee wie ich die mail() funktion sicherer machen kann?
    Also das man zb keine BBC usw machen kann und sowas. also die funktion nicht highjacked

    danke!

    asylum
     
  2. michaeljk

    michaeljk MacUser Mitglied

    Mitglied seit:
    21.10.2006
    Beiträge:
    832
    Zustimmungen:
    28
    Sämtliche Strings prüfen die der Funktion übergeben werden:

    bool mail ( string to, string subject, string message [, string additional_headers [, string additional_parameters]] )


    Insbesondere sollte man ausschliessen, das per Eingabefeld weitere Header-Zeilen hinzugefügt werden könnten, also auf Sonderzeichen und Umbrüche prüfen ("\n" usw.).
     
  3. asylum

    asylum Thread Starter MacUser Mitglied

    Mitglied seit:
    10.06.2005
    Beiträge:
    747
    Zustimmungen:
    1
    wie saehe das denn konkret aus?
     
  4. michaeljk

    michaeljk MacUser Mitglied

    Mitglied seit:
    21.10.2006
    Beiträge:
    832
    Zustimmungen:
    28
    Nachtrag:
    Hier gibt es eine sehr gute Erläuterung zu der Problematik:

    http://www.drweb.de/webmaster/kontakt-formulare.shtml

    Mittels Captcha-Grafiken kann man beispielsweise auch sicherstellen, das mit höchster Wahrscheinlichkeit ein Mensch vor so einem Formular sitzt und etwas absenden möchte.
     
  5. Jakob

    Jakob MacUser Mitglied

    Mitglied seit:
    05.01.2004
    Beiträge:
    1.067
    Zustimmungen:
    21
    Captchas helfen mittlerweile auch nicht mehr besonders.

    Bei mir hilft ein addslashes() für die header, da damit Anführungszeichen (möglicher injection-Angriff) und backslashes („\“, wie z.B. in „\n“) entschärft werden.
     
  6. asylum

    asylum Thread Starter MacUser Mitglied

    Mitglied seit:
    10.06.2005
    Beiträge:
    747
    Zustimmungen:
    1
    muss ich addslashes() dann auf alle meine Felder in dem Formular anwenden?
    Und das verhindert sowas wie nen highjack durck bbc: ?
     
Die Seite wird geladen...