Mailinglisten-Archive |
Wichtig ist unter anderem, dass was als viertes Argument in mail() geht eingehend geprueft ist. zum Beispiel: $from = $REQUEST['from']; $to = $REQUEST['to']; $subj = "foobar"; $msg = "eine email message"; mail($to, $subj, $msg, "From: $from"; Angenommen, jemand schickt im "from" Feld dieses hier (mitsamt den Zeilenumbruechen): ---------------------------------------------- foo at bar.com Bcc: spammed1 at domain.com, spammed2 at domain.com Spam Message ---------------------------------------------- Dann resultiert aus dem mail() Aufruf von oben dieser Email Body: ---------------------------------------------- To: whoever at domain.com Subject: foobar From: foo at bar.com Bcc: spammed1 at domain.com, spammed2 at domain.com Spam Message eine email message ---------------------------------------------- Sprich, das Formular kann zum versenden beliebiger Email Contents an beliebige Empfaenger misbraucht werden. (noch ein bisschen MIME Frickelei in $from und das "eine email message" ist beim MUA des Empfaengers nicht mehr sichtbar) > Date: Wed, 23 Nov 2005 11:07:37 +0100 > From: Michael Borchers <php at tridemail.de> > Reply-To: deutschsprachige PHP-Mailingliste <php at phpbar.de> > To: php <php at phpbar.de> > Subject: [php] "empfehlen" - formulare > > immer wieder gern genommen, aber mit vorsicht zu geniessen, die "empfehlen sie uns weiter" formulare. > > selbst getprice verwenden es und erlauben einem den betreff, den text und bis zu 5 empfänger zu ändern. > > wie schützt ihr solche skripte gegen missbrauch? >
php::bar PHP Wiki - Listenarchive