Nori gauti straipsnius el. paštu - Prenumeruok

PHP saugumas, kontaktų forma?

« »

Dažnai svetainėje būna kontaktų forma aka sussisiekite su manimi. Tai daroma ne tik asmeninėse svetainėse, bet ir daugelyje rimtų svetainių. Atrodo labai simple programėle, ir koks tai gali būti blogis? Blogi žmonės gali pasinaudoti kaip SPAMinimo įrankiu, ir tols dalykas vadinamas Email Injection.

Kaip tai veikia galima pasiskaityti svetainėje http://securephp.damonkohler.com/index.php/Email_Injection.

PHP manualas:

Usage:
bool mail ( string to, string subject, string message [, string additional_headers [, string additional_parameters]] )
Purpose: Send mail
Availability: PHP 3, PHP 4, PHP 5

taigi kaip mažas pavyzdys, ką galima padaryti jei nedarai apsaugų.

Įsivaizduokim kad be jokios validacijos padaryta programa, kuri turėtų isiųsti komentarą:

<?php mail(“gavejas @ esu.as”,”Pavadinimas”,”Labas,ncia atsiliepmas.niki”,”From: siuntejas @ esu.asn”); ?>

//nevalidavus tarkim eina

<?php mail($_POST[‘gavejas’],$_POST[‘pavadinimas’],$_POST[‘[pavadinimas’],”From: $_POST[‘siuntejas’]n”); ?>

Jeigu tarkim galima pagauti keisti gavėją, galima pridirbti štai ką:

“gavejas @ anonymous.www%0ACc:gavejas2cc @ someothersite.xxx%0ABcc:gavehas3 @ grrrr.xxx, gavejas4 @ oooops.xxx”

ir jau automatiškai prisidės papildomų gavėjų :)

taigi nepamirškit pastudijuoti anksčiau minėta nuorodą ir daryti validavimą, kurį kartais gali pamiršti :)

 

Leave a Reply

Your email address will not be published. Required fields are marked *

> home
  • Apie mane
  • Apklausos
  • Blogas
  • Lietblogs Search
  • Nuorodos
  • Reklama mano bloge
  • Search
  • Tags
  • Testas
  • Projektai
  • Kontaktuok
  • Archyvas