Felix Riesterer: PHP-Skript deaktiviert / Spam durch mail()-method !?!?!?

Beitrag lesen

SELF-Forum

PHP-Skript deaktiviert / Spam durch mail()-method !?!?!?

Felix Riesterer Homepage des Autors
Informationen zu den Bewertungsregeln

Lieber Sven,

Ein harmlos wirkendes

mail("hartcodiert@example.com", "Betreff: Hartcodiert", "Textinhalt: Hartcodiert", "Cc: $variable_aus_form");


> kann fatal werden, wenn man manipuliert, so dass  
> ~~~php
  

> $variable_aus_form="nr-zwei@example.com\r\nBcc: spammeropfer@example.net";

AHAA! Jetzt wird mir so manches klarer! Das ist sehr wichtig und sollte unbedingt in den Feature-Artikeln zum Formmailer hinzugefügt werden!

$mail_headers setzt sich zusammen aus:

$mail_headers = '';
    if(!empty($mail_from)) $mail_headers .= "From: $mail_from\n";
    if(!empty($mail_reply_to)) $mail_headers .= "Reply-to: $mail_reply_to\n";
    if(!empty($mail_cc)) $mail_headers .= "Cc: " . str_replace(";", ",", $mail_cc) . "\n";
    if(!empty($mail_bcc)) $mail_headers .= "Bcc: " . str_replace(";", ",", $mail_bcc) . "\n";


> Wie man sieht: Es wird richtig eklig, weil jeder der hier verwendeten Variablen, nämlich $mail\_from, $mail\_reply\_to, $mail\_cc und $mail\_bcc, unbedingt auf eingeschleppte Zeilenschaltungen geprüft werden muß.  
  
Dieser Mechanismus ist vielen Scriptautoren sicherlich nicht genügend klar! Daher sollte man den [Tipps&Tricks-Artikel von Stefan Münz (Perl)](http://aktuell.de.selfhtml.org/tippstricks/cgiperl/form-mail/index.htm), als auch [die PHP-Version von Patrick Canterino](http://aktuell.de.selfhtml.org/tippstricks/php/form-mail/index.htm) diesbezüglich erweitern! Für mein Email-Skript hatte ich nämlich letzteren herangezogen, ohne um die echten Gefahren zu wissen. Glücklicherweise habe ich den Formmailer wegen Beschimpfungs-Spam nie wirklich in Betrieb genommen, sodass sich diese Sicherheitslücke nie auftat. Aber sicherlich verwenden einige die oben genannten Artikel als Grundlage für ihre Skripte.  
  
Ich sehe, dass auch die Mail-Funktion von [my little forum](http://www.mylittlehomepage.net/my_little_forum) (welches ich im Einsatz habe) eben diese Prüfungen nicht vornimmt. Werde dem Autor mal eine Mail schicken. Vielleicht tut sich da ja was. ;-)  
  
Diese Spam-Flut wird ja nicht weniger... deshalb sollte man gehörig auf der Hut sein!  
  
Liebe Grüße aus [Ellwangen](http://www.ellwangen.de/),  
  
Felix Riesterer.
Beitrag melden
Informationen zu den Bewertungsregeln
0 21

PHP-Skript deaktiviert / Spam durch mail()-method !?!?!?

Chop-Sui
  • php
  1. 0
    Fabienne
    1. 0
      TomIRL
      1. 0
        Chris
        1. 0
          TomIRL
          1. 0
            Chris
      2. 0
        Fabienne
        1. 0
          TomIRL
          1. 1

            AUFRUF zum handeln!

            Chis
  2. 0
    Chris
    1. 0
      Chop-Sui
      1. 0
        wahsaga
        1. 0
          Chop-Sui
          1. 0
            Chris
          2. 0
            Auge
      2. 0
        Chris
        1. 0
          Chop-Sui
          1. 0
            Chris
            1. 0
              Chop-Sui
      3. 1
        Sven Rautenberg
        1. 0
          Felix Riesterer