phpbar.de logo

Mailinglisten-Archive

[php] Sicherheitsaspekte beim Formular mailen

[php] Sicherheitsaspekte beim Formular mailen

Laura Reising php_(at)_phpcenter.de
Thu, 18 Oct 2001 12:35:53 +0200


Hallo Liste,

ich muß gerade ein Skript programmieren, daß Formular-Eingaben per Mail
verschickt (älteste Sache der Welt).

Da es in diesem Fall sehr stark um Sicherheit geht, möchte ich mich
nicht auf

mail("laura_(at)_online.com", "Kontaktaufnahme", "Absender
".$HTTP_POST_VARS["absender"]." blablub");

beschränken.


Ich habe mir mal einige PHP-Formmail-Skripte angesehen und die sind in
der Regel nur wenig bis hin zu gar nicht gegen Mißbrauch geschützt.

Ganz anders die aktuelle Version von "formmail.pl" in der es x
Sicherheitsfunktionen gibt.

Aber ganz so viel brauche ich auch wieder nicht, da ich die
Empfänger-Adresse hart codiere und das Skript somit für Spammer
uninteressant ist.

Zu welchen Sicherheits-Funktionen würdet Ihr raten? Habt Ihr schonmal
was ähnliches programmiert?

Ich denke an shtml (SSI) -Elemente in den Formulareingaben oder
irgendwelche Eingaben, die zusammen mit sendmail gefährlich werden
könnten (sendmail -t -i "hier ein Teil des
Mail-Textes".#hier-eine-böse-Hacker-Anweisung-die-durch-sendmail-ausgeführt-wird#).

Oder mache ich mir zuviele Gedanken und wird bei mail() der
Mailtext-Parameter wirklich nur als zu mailender String gesehen und es
kann gar nichts passieren?

Danke!
Eura Laura






php::bar PHP Wiki   -   Listenarchive