Mailinglisten-Archive |
Hallo Yannik, Yannik Hampe schrieb: > > Armin Briatta wrote: >> >> vor einiger Zeit las ich (ich erinnere mich nicht wo), dass es Sinn >> mache, Formulareingeben in ein E-mail-Feld, die per $_POST abgefragt >> werden, auch per urldecode() zu "behandeln", da dies unter anderem vor >> Angriffen schütze, die urlcodierte Zeilenumbrüche beinhalten. >> ... >> Was meint ihr dazu: Macht diese Funktion in dem Zusammenhang der Prüfung >> von Formulareingaben einen Sinn oder nicht? > > Nein. > Php hat ja so einige Funktionen um strings zu minupulieren, aber > urldecode scheint mir jetzt etwas willkürlich ausgewählt. > > Wenn es in deinem emailformular jedoch möglich ist eine > Empfängeremailadrese explizit anzugeben, dann hilft es auch nicht > wirklich zu prüfen ob die Mailadresse gültig ist. Wenn Sie gültig ist, > bist du dem Spam ausgeliefert und wenn nicht, dann funktioniert es > sowieso nicht. > Aber vielleicht habe ich da jetzt auch was falsch verstanden? Vielleicht > möchtest du die Frage mit etwas code unterlegen... Mir geht es darum, Zeilenumbrüche abzufangen, die über eventuell manipulierte Formulare ankommen. Diese haben ja bei E-mail-Adressen, Namen, Ortsangaben oder Ähnlichem nichts zu suchen. Wenn ich nun eine E-mail als Bestätigung für den Empfang der Formulardaten an den Absender schicke, möchte ich sicher sein, dass keinerlei Manipulationen des mail-headers stattfinden können. Zur Zeit prüfe ich alle Eingaben in einzeilige Felder wie folgt: $_correct_string = stripslashes ($_original); $_correct_string = strip_tags($_correct_string); $_correct_string = trim($_correct_string); $_correct_string = htmlspecialchars ($_correct_string, ENT_QUOTES, "UTF-8"); $_correct_string = urldecode($_correct_string); Dann prüfe ich die einzeiligen Felder noch per regulärem Ausdruck, je nach Feld strenger oder lockerer. Viele Grüße Armin -- Armin Briatta Fotografie und Webdesign Kirchbergweg 2 64367 Mühltal-Trautheim (0173) 6 54 97 10 www.briatta.de
php::bar PHP Wiki - Listenarchive