[PHP] zabezpieczenie formularza przed email injection Opcje

[d4nny]

Witam, chodzi o formularz kontaktowy/zamówienia. Ma działać na vel.pl. Wysyłając maila przy pomocy tego formularza na mój e-mail zamiast danych przysłał kawałek kodu html. Obsługa hostingu naisała że: "naglowki maila podawane w skrypcie funkcji mail() powinny byc oddzielane przez "\n", a nie "\r\n" - taka forme przyjmuja platformy unixowe". Zmieniłem to wg. wskazań no i już przychodzą prawidłowe dane ale podobno skrypt jest dziurawy, nie wiem jak go zabezpieczyc przed email injection czytalem o filtrach ale nie wiele tego w necie i nie wszystko dziala. Proszę o pomoc. Oto kod pliku zamowienie.php, kofu pliku z formularzem chyba nie ma potzreby wklejać.

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
$imieinaz=$_POST['imieinaz'];
$nazwaf=$_POST['nazwaf'];
$adres=$_POST['adres'];
$kod=$_POST['kod'];
$miasto=$_POST['miasto'];
$nip=$_POST['nip'];
$tel=$_POST['tel'];
$faks=$_POST['faks'];
$email=$_POST['email'];
$szkolenie=$_POST['szkolenie'];
$liczba=$_POST['liczba'];
$innaliczba=$_POST['innaliczba'];
 
$data=strftime(" %A, %d  %B  %Y");
$nadawca_imie = "[Zgłoszenie ze strony]";
$send_email ="d4nny89@gmail.com";
$temat = "[Zgłoszenie ze strony] - Informacja o zgłoszeniu - zamówieniu";
$headers = "MIME-Version: 1.0\n";
$headers .= "Content-type: text/html; charset=iso-8859-2\n";
$headers .=  "From: $nadawca_imie <$email>\n";
$body_mail = "<table width=600 border=0 cellpadding=1 cellspacing=2 align=center style=\"font-family: Verdana; font-size: 12px;\">
<tr>
<td colspan=2 align=center><b><u>".$temat."</u></b></td>
</tr>
<tr>
<td colspan=2 align=center> </td>
</tr>
 
<tr>
<td width=166 align=right>Firma:  </td>
<td width=424><div align=\"justify\"><b>".$firma."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Imię i Nazwisko:  </td>
<td width=424><div align=\"justify\"><b>".$imieinaz."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Nazwa firmy:  </td>
<td width=424><div align=\"justify\"><b>".$nazwaf."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Adres firmy:  </td>
<td width=424><div align=\"justify\"><b>".$adres."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Kod pocztowy:  </td>
<td width=424><div align=\"justify\"><b>".$kod."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Miasto:  </td>
<td width=424><div align=\"justify\"><b>".$miasto."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>NIP:  </td>
<td width=424><div align=\"justify\"><b>".$nip."</b></div></td>
</tr>
 
<tr>
<td align=right valign=top>Telefon(y):  </td>
<td align=left valign=top> <div align=\"justify\"><b>".$tel."</b></div></td>
</tr>
 
<tr>
<td align=right valign=top>Faks:  </td>
<td align=left valign=top> <div align=\"justify\"><b>".$faks."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Adres e-mail:  </td>
<td width=424><div align=\"justify\"><b>".$email."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Szkolenie:  </td>
<td width=424><div align=\"justify\"><b>".$szkolenie."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Liczba osób poddanych szkoleniu:  </td>
<td width=424><div align=\"justify\"><b>".$liczba."</b></div></td>
</tr>
 
<tr>
<td width=166 align=right>Podaj inną liczbę, jeśli przekracza ona 10 osób:  </td>
<td width=424><div align=\"justify\"><b>".$innaliczba."</b></div></td>
</tr>
 
<tr>
<td colspan=2 align=center> </td>
</tr>
 
<tr>
<td colspan=2 align=center>Data przeslania zgłoszenia: $data</td>
</tr>
 
</table>";
 
mail($send_email,$temat,$body_mail,$headers);
 
print "<br><center>Zgłoszenie zostało wysłane</center>";
print "<br><center>skontaktujemy się z Tobą wkrótce</center>";
?>
[PHP] pobierz, plaintext 

Ten post edytował d4nny 5.06.2008, 14:30:46

[camikazee]

Musisz wprowadzić dodatkowe funkcje walidacji danych z poszczególnych inputów. Możesz jeszcze dołożyć tokena i myślę, że te rozwiązania w dużej mierze rozwiążą te problemy (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Walidacje najlepiej za pomocą wyrażeń regularnych, dość mocno filtruj, to będziesz miał pewność, że zatrzymasz niechciane ataki.

[d4nny]

tylko jak mam zastosować filtry, może jakiś kod podasz?

[marcin.pospiech]

W takim przypadku musisz zobaczyć, czy w danym inpucie nie znajdują się pewne znaki.

[PHP] pobierz, plaintext 
<?php
 
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
 
?>
[PHP] pobierz, plaintext 

Taki kod pomoże wykryć Ci wstrzykiwany spam w MIME.

[d4nny]

ale to tzreba zastosować do każdego pola formularza ? np.

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
 
$imieinaz=$_POST['imieinaz'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
?>
[PHP] pobierz, plaintext 

[help_mee]

no tak.... ale możesz po zdefiniowaniu zmiennych:

[PHP] pobierz, plaintext 
<?php
$firma=$_POST['firma'];
$imieinaz=$_POST['imieinaz'];
$nazwaf=$_POST['nazwaf'];
$adres=$_POST['adres'];
$kod=$_POST['kod'];
$miasto=$_POST['miasto'];
$nip=$_POST['nip'];
$tel=$_POST['tel'];
$faks=$_POST['faks'];
$email=$_POST['email'];
$szkolenie=$_POST['szkolenie'];
$liczba=$_POST['liczba'];
$innaliczba=$_POST['innaliczba'];
if (eregi("r", $email) || eregi("\n", $email)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
if (eregi("r", $imieinaz) || eregi("\n", $imieinaz)) {
  die('Prawdopodobnie ktoś chce wstrzyknąć spam!');
}
...
?>
[PHP] pobierz, plaintext 

itd. (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

[Pilsener]

Przepuszczaj np. z pola "miasto" tylko znaki alfanumeryczne, sprawdzaj wszystko co się da. Zastosuj filtry i zabezpieczenia opisane np. w tym temacie http://forum.php.pl/index.php?showtopic=94213 - w ostateczności "przepisz kod z obrazka", aczkolwiek nie jest to zalecane, to ostateczność.