Anmelden
Mittwoch, 14. November 2007, 10:32
! misc/suggest.php
Original Post von Dooki am 05.01.2007 - 11:16
Diskussion: http://archiv.kit-security.de/include.ph…p&threadid=4123
Sacht mal.. da ich derzeit Probleme mit dem Kontaktformular hatte, was ich nun geregelt habe, fiel mir eben auf, dass vermehrt bots in meiner suggest.php rumkrauchen..
hmm hab ich reingeschaut.. und was sehe ich dort? keinerlei emailcheck kram drin..
die mail geht also IMMER raus..
fraglich nur: ist das feld safe?
lediglich die abfrage ob abgeschickt wurde und ob sie raus ging die mail..
diese codestellen geändert in:
fragen vorher mit "emailcheck(....)" ab obs eine email addy is.. und nicht vielleicht mehrere mit BCC usw..
EDIT:
Diese Funktion funktioniert allerdings nur dann, wenn man folgende Änderung vornimmt:
TIPP Vor der Anhäufung von Spam-Mails schützen
Wobei ich mich frage ob dies überhaupt möglich wäre wegen:
dort wird die email ja eingekreist von <........>
aber um auf nummer sicher zu gehen hab ich das mal geändert.. Fehlermeldung ein neues Event 50 erstellt..
hochladen in den ordner "templates" mit dem namen event_message_50.htm
Diskussion: http://archiv.kit-security.de/include.ph…p&threadid=4123
Sacht mal.. da ich derzeit Probleme mit dem Kontaktformular hatte, was ich nun geregelt habe, fiel mir eben auf, dass vermehrt bots in meiner suggest.php rumkrauchen..
hmm hab ich reingeschaut.. und was sehe ich dort? keinerlei emailcheck kram drin..
die mail geht also IMMER raus..
fraglich nur: ist das feld safe?
|
PHP-Quelltext |
1 |
elseif ($ACTION==$_POST['send']) { eval ("\$suggest_title= \"".getTemplate("suggest_title")."\";"); $mailto=$_POST['suggest_name']." <".$_POST['suggest_email'].">"; if (mailsender($mailto,$suggest_title,$_POST['suggest_text'])) { header("location: include.php?event=26&PHPKITSID=".session_id()); exit(); } else { header("location: include.php?event=35&PHPKITSID=".session_id()); exit(); } }
|
lediglich die abfrage ob abgeschickt wurde und ob sie raus ging die mail..
diese codestellen geändert in:
|
|
PHP-Quelltext |
1 |
elseif ($ACTION==$_POST['send']) { if(emailcheck($_POST['suggest_email'])) { eval ("\$suggest_title= \"".getTemplate("suggest_title")."\";"); $mailto=$_POST['suggest_name']." <".$_POST['suggest_email'].">"; if (mailsender($mailto,$suggest_title,$_POST['suggest_text'])) { header("location: include.php?event=26"); exit(); } else { header("location: include.php?event=35"); exit(); } } else { header("location: include.php?event=50"); exit(); } }
|
fragen vorher mit "emailcheck(....)" ab obs eine email addy is.. und nicht vielleicht mehrere mit BCC usw..
EDIT:
Diese Funktion funktioniert allerdings nur dann, wenn man folgende Änderung vornimmt:
TIPP Vor der Anhäufung von Spam-Mails schützen
Wobei ich mich frage ob dies überhaupt möglich wäre wegen:
|
|
PHP-Quelltext |
1 |
$mailto=$_POST['suggest_name']." <".$_POST['suggest_email'].">";
|
dort wird die email ja eingekreist von <........>
aber um auf nummer sicher zu gehen hab ich das mal geändert.. Fehlermeldung ein neues Event 50 erstellt..
|
|
Quellcode |
1 2 3 |
Es ist ein Fehler mit dem E-Mail Feld aufgetreten. <br /><br /> Bitte geben Sie maximal <u>eine</u> <b>richtige</b> E-Mail Adresse ein! |
hochladen in den ordner "templates" mit dem namen event_message_50.htm
