mysqldumper
-


Hinweise


Antwort
 
LinkBack (3) Themen-Optionen Thema durchsuchen Bewertung: Bewertung: 3 Stimmen, 4,00 durchschnittlich.
Alt 28.02.2006, 10:57   #46
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
sobald im Header der Content-Type gesetzt ist, werden keine Änderungen im Body mehr angenommen. Durch nl2br werden diese Versuche zudem unschädlich gemacht.

Stripslashes benutze ich, da $comments aus der POST stammt und bei meinen Servern magic_quotes eh an ist. htmlentities nehm ich halt damit man auch alles lesen kann, wenn tags benutzt werden. Dadurch sind dann links halt nicht mehr klickbar, das kann man noch verbessern. Das ist auch eine "Schnellumwandlung".
Wie gesagt, das wichtigste war den Header in Ruhe zu lassen. Die meisten Hacker versuchen den Header mit Content-Type: multipart/mixed; im Body weitere Headeranweisungen zu geben - das funktioniert hier nicht.
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten


Alt 28.02.2006, 14:03   #47
TP-Senior
 
Benutzerbild von madace
 
Registriert seit: Jan 2003
Ort: Frankfurt/M.
madace ist auf einem guten Weg
Hat hier jmd. jetzt ein Formular-Skript das (mehr oder weniger) sicher läuft und würde es zur Verfügung stellen?
__________________
"Das Gewissen ist die Stimme der Seele. (J.J. Rousseau)"
madace ist offline   Mit Zitat antworten
Alt 28.02.2006, 14:21   #48
TP-Greis
 
Benutzerbild von Boris
 
Registriert seit: Mar 2001
Ort: Berlin, Germany
Boris ist ein richtiges Arbeitstier - DANKEBoris ist ein richtiges Arbeitstier - DANKEBoris ist ein richtiges Arbeitstier - DANKEBoris ist ein richtiges Arbeitstier - DANKEBoris ist ein richtiges Arbeitstier - DANKEBoris ist ein richtiges Arbeitstier - DANKE
Es wurden hier verschiedene Lösungsansätze gezeigt. Such dir eines aus ...
__________________
My software never has bugs. It just develops random features ...

» DevShack - die Website des freien Webentwicklers Boris
Boris ist gerade online   Mit Zitat antworten
Alt 28.02.2006, 14:57   #49
TP-Greis
 
Benutzerbild von steff11
 
Registriert seit: Aug 2002
Ort: Hochfranken
steff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine User
Zitat:
Zitat von St@eff.en
ich hab wohl eine Methode, die unhackbar ist.
Wars wirklich so einfach ?

PHP-Code:
$mailheaders="From: Homepage <website@xxx.de>\r\nContent-Type: text/html";
    
$msg="\r\n"
        
.'Name : '.$name."\r\n"
        
.'E-Mail : '.$email."\r\n"
        
.'Webseite : '.$url."\r\n"
         
." hat folgende Nachricht abgeschickt :\r\n\r\n"
        
.stripslashes($comments);    
    
    
$msg=nl2br(htmlentities($msg));

if (@
mail("admin@domain.de""Kontakt von der Website"$msg$mailheaders)) {
...

Kann oder sollte man den entsprechenden Codeblock in der Formmailer-version ersetzen, die du bei Dislabs zum Download anbietest. Der block wär wohl zu ersetzen:
PHP-Code:
$mailheader="From: $name <$email>\r\nX-Mailer: PHP/" phpversion(). "\r\nX-Sender-IP: ".$_SERVER['REMOTE_ADDR']."\r\nContent-Type: text/plain; charset=ISO-8859-1;";
        
$subject="Webseiten-Nachricht von $name";
        if (@
mail($empfaenger$subject$message$mailheader)) {
            
//Alles ok, Seite neuladen (Reloadsperre)
            
header("Location:$pagename?success");
        } 
Steff

PS: aber hoppla, sind ganz andere Variablenbezeichner; aber im Prinzip, mein ich.
steff11 ist offline   Mit Zitat antworten
Alt 28.02.2006, 15:00   #50
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
ja, ich werde das auf dislabs genauso anpassen und geb dann Bescheid
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Alt 28.02.2006, 15:03   #51
TP-Greis
 
Benutzerbild von steff11
 
Registriert seit: Aug 2002
Ort: Hochfranken
steff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine User
Sach ma, bei dir arbeitet doch auch ein Repost-Robot Du kannst doch nicht schneller antworten als ich lesen kann
steff11 ist offline   Mit Zitat antworten
Alt 28.02.2006, 15:33   #52
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
hab halt viele Klone an verschiedenen Rechnern sitzen
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Alt 01.03.2006, 02:22   #53
TP-Newbie
 
Registriert seit: Mar 2006
Taipei macht alles soweit korrekt
Ich nutze derzeit ein E-Mail-Formular von cgidienst.de (emailform) das ich lediglich in der Funktion CheckInput erweitert habe. Die abgeänderte CheckInput lautet bei mir:
PHP-Code:
function CheckInput ($input)
{
    
$missing 0;

    if (! 
$input[From]) { $missing ++; }
    if(!
eregi("^[_\.0-9a-z-]+@([0-9a-z][0-9a-z-]+\.)+[a-z]{2,4}$" ,$input[From])) {
        
$missing =2;
    }
    if (! 
$input[Subject]) { $missing ++; }
    if (! 
$input[Message]) { $missing ++; }

    return 
$missing;

Normalerweise war meine Ergänzungszeile, die irgenwo anders gefunden habe, nur dazu gedacht um eine der Syntax entsprechende E-Mail-Adresse (mehr oder weniger) zu erzwingen. Nun habe ich versucht das Script mit den beschrieben Infektionen zu testet. Komischerweise scheint es sich nicht infizieren zu lassen.

Habe ich beim Testen etwas falsch gemacht, oder hat jemand eine Erklärung dafür?
Taipei ist offline   Mit Zitat antworten
Alt 01.03.2006, 12:38   #54
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
Deine Auswertung ist weder sicher noch vorbeugend. Das da keine bots drauf waren hat wohl andere Gründe - ev. filtern die mit einem Zusatzprogramm die Spams raus...
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Alt 02.03.2006, 13:08   #55
TP-Member
 
Registriert seit: Mar 2006
Angel_de macht alles soweit korrekt
Hi ...
bin Neuling, was PHP angeht und habe für bisherigen Seiten vorgefertigte Scripte genutzt zum Mailversand. Was ich mir selbst damit angetan habe könnt ihr euch ja bestimmt denken.

Aufgrund dessen, dass ich rel. grün hinter den Ohren bin, was PHP angeht bringen mir die Codeschnipsel rel. wenig.
Bräuchte wie madace also ein sicheres Script welches lediglich 2 oder 3 Eingabefelder mit sich bringt (Name, Mail, Text).

Damit wäre mir schon sehr geholfen. Ich bin für jede PN mit Code dankbar :-)

Werd mich dann wohl auch öfter hier rumtreiben, weil bei dem, was ich so gelesen hab sind hier ja viele kompetente Leute am Werk. Vl. kann ja auch ich mich irgendwie einbringen.

Vielen Dank schonmal im voraus.
In dem Sinne
Angel_de ist offline   Mit Zitat antworten
Alt 02.03.2006, 13:28   #56
TP-Greis
 
Benutzerbild von steff11
 
Registriert seit: Aug 2002
Ort: Hochfranken
steff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine User
Zitat:
Zitat von Angel_de
Ich bin für jede PN mit Code dankbar
pn - was auf die Nase damit nur du was hast, nix gibbs!

Geh zu, wir machen uns ein Glas Wein auf und schnacken ein bisschen, bis der liebe Steffen den unhackbaren Codeschnippes aus Post 42 in das Script reingepfriemelt hat, das er dann uns lieben, geduldig wartenden Menschen auf dislabs.de anbietet. Ich weiß, dass der Steffen das kann und auch gern macht, wenn seine 1001 Jobs mal 5min Zeit geben. Außerdem liest sein TP-Check-Clone seit 2 min mit, was ich hier tippe, und flüstert ihm bestimmt schon was von uns beiden.

Steff
steff11 ist offline   Mit Zitat antworten
Alt 02.03.2006, 14:02   #57
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
Clone1 and Clone2: Auftrag notiert ?
Clone2: Ja natürlich, ich habs an Clone23 weitergegeben, der sagt dann Clone15 Bescheid, das Clone7 mit der Umsetzung beginnen soll
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Alt 02.03.2006, 18:34   #58
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
Gerade sagt mir Clone23, das Clone8 das Update bereits hochgeladen hat - da wusste ich gar nichts von

also hier: http://dislabs.de/index.php?ac=labor&sub=5&id=16
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Alt 02.03.2006, 19:04   #59
TP-Greis
 
Benutzerbild von steff11
 
Registriert seit: Aug 2002
Ort: Hochfranken
steff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine Usersteff11 lebt für das TP und seine User
merci! Und gib mir mal ´ne Nummer von deiner Gen-Fabrik. Will auch 2/3 so willige und fähige Genossen hier am Schreibtisch.
steff11 ist offline   Mit Zitat antworten
Alt 02.03.2006, 19:21   #60
TP-Special Mod
 
Benutzerbild von steffenk
 
Registriert seit: Feb 2005
Ort: Haan / NRW
steffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine Usersteffenk lebt für das TP und seine User
Genfabrik ? Bin schon als 25ling zur Welt gekommen
__________________

Typo3 · MySQLDumper · dislabs
·
manche Mühlen mahlen schneller ...
"Ich habe Rücken"
Horst Schlämmer
steffenk ist offline   Mit Zitat antworten
Antwort

  Aktuelles Thema
  TP Hilfe Forum > Web-Editoren & Coding > Traum-Dynamik
FYI: Email Injection FYI: Email Injection
« Probleme mit Wordpress und IIS | Session Timeout »

LinkBacks (?)
LinkBack to this Thread: http://www.traum-projekt.com/forum/19-traum-dynamik/71139-fyi-email-injection.html
Erstellt von For Type Datum
Artfiles Supportboard | Druckvorschau: Spamschutz bei Formularen | Seite 1 This thread Refback 09.08.2007 20:46
SELFPHP Forum - Spam-Versand über Kontaktformular (PHP-Skript) verhindern This thread Refback 26.10.2006 08:49
Spam-Versand über Kontaktformular (PHP-Skript) verhindern - SELFPHP Forum This thread Refback 10.10.2006 04:01

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen Thema durchsuchen