Bernd: Merkwürdige Nachricht über Kontaktformular

Hallo,
mich würde eure Meinung zu Folgendem interessieren:

Auf meiner Homepage habe ich ein Kontaktformular, das die Angaben mit PHP und der Funktion mail an meine E-Mail schickt.

In letzter Zeit habe ich öfters komische Nachrichten erhalten, die etwa so aussehen:

Datum: 29.10.2005
Name: rummage
Content-Type: text/plain; charset="us-ascii"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: strangers a
bcc: battsl1005@aol.com

1bcc9f0bfc6d893e8d7a24212e0bda91
.
E-Mail: girl7048@meinedomain.de
URL: girl7048@meinedomain.de

Nachricht:
girl7048@meinedomain.de

Normalerweise sieht eine E-Mail vom Kontaktformular so aus:

Datum: 29.10.2005
Name: rummage
E-Mail: girl7048@bernd-lutz.de
URL: girl7048@bernd-lutz.de

Nachricht:
girl7048@bernd-lutz.de

Was könnte da los sein? Spam? Gehacke? Und was macht der Header da?

Gruß Bernd

  1. Hi,

    bcc: battsl1005@aol.com

    das wird wieder mal ein anderer Name von jrubin sein:

    http://forum.de.selfhtml.org/archiv/2005/8/t114316/
    http://forum.de.selfhtml.org/archiv/2005/9/t115018/
    http://forum.de.selfhtml.org/archiv/2005/9/t115144/

    Viele Grüße

    Jörg

    1. Danke Jörg,
      das war ein guter Hinweis. Angenommen der Unbekannte testet mein Script auf Sicherheitslücken, wie kann ich meinerseits sicher gehen, dass das Script keine Sicherheitslöcher hat.

      Hat jemand ein paar Tipps?

      Gruß Bernd

      1. Hallo Bernd,

        das war ein guter Hinweis. Angenommen der Unbekannte testet mein Script auf Sicherheitslücken, wie kann ich meinerseits sicher gehen, dass das Script keine Sicherheitslöcher hat.

        da empfehle ich Dir einfach, die dritte verlinkte Seite (http://forum.de.selfhtml.org/archiv/2005/9/t115144/) mal durchzulesen, da finden sich einige interesante Hinweise.

        Ansonsten ist das sicher auch von Script zu Script unterschiedlich, je nachdem, was übergeben werden soll. Die Grundlage ist sicher die Prüfung, daß in jedes Feld nur das eingegeben wird, was vorgesehen ist. Bei der Plz gehören z. B. keine Buchstaben rein, Pflichtfelder müssen ausgefüllt werden, Bei einem Ort gehört kein @ rein, bei der Mailadresse sicher nicht die eigene, usw.

        Viele Grüße

        Jörg

        1. N'Abend,

          Die Grundlage ist sicher die Prüfung, daß in jedes Feld nur das eingegeben wird, was vorgesehen ist.

          Soweit richtig.

          Bei der Plz gehören z. B. keine Buchstaben rein

          Damit waere ich jedoch vorsichtig. Es gibt Laender bei denen die PLZ auch Buchstaben enthaelt.

          Was mir schon des oefteren Probleme bereitet hat Formulare auszufuellen die das nicht vorsahen. Oder die nur 5 Stellen zulassen wollten.

          Oder Formulare die die Hausnummer nur hinter der Strasse erlaubten.

          Oder Formulare amerikanischer Firmen die die Auswahl eines Staates vorschrieben selbst wenn man als Land ein anderes als die USA angegeben hatte.

          Das Web ist international und Gebraeuche von Land zu Land verschieden.

          --
          Und wech, ueber Formulare aergern.
          Armin
          1. Moin moin

            Bei der Plz gehören z. B. keine Buchstaben rein

            Damit waere ich jedoch vorsichtig. Es gibt Laender bei denen die PLZ auch Buchstaben enthaelt.

            ja, deswegen schrieb ich ja auch, daß man auf _vorgesehene_ Eintragungen prüfen muß. Und wenn diese Postleitzahlen auch Buchstaben enthalten sollen, dann muß man das eben berücksichtigen.

            Diese Prüfungen sind ja auch oft im eigenen Interesse. Ich habe oft Felder, in die Datumswerte eingetragen werden müssen, mit denen dann gerechnet wird. Man glaubt gar nicht, wie oft versucht wird, dort "40. KW" einzutragen. Damit kann das Script natürlich nicht rechnen.

            Wobei es bei jrubin und seinen Aliasen schon gereicht hätte, wenn man Felder, in denen kein "@" vorkommen darf, geprüft haätte.

            Viele Grüße

            Jörg