| | |
| Stránka: 1 z 1
| [ Príspevkov: 12 ] | |
Autor | Správa |
---|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal camo: 24.05.2010 22:11 | |
|
Je to vôbec potrebné? Asi hej, ale neviem čoho by som sa mal obávať(akej formy útoku)? Ešte v tom neviem chodiť
Postup je prosté predanie premennej $_POST['body/address/subject'] do funkcie mail(). Čo tam mám otestovať atď.?
Môže mi niekto dať nejaký príklad takého útoku?
|
|
Registrovaný: 01.04.10 Prihlásený: 08.10.11 Príspevky: 339 Témy: 0 | Napísal Forty-: 24.05.2010 22:54 | |
|
chces skontrolovat validitu emailu?
vygoogli si (alebo napis si) regularny vyraz na kontrolu - ale kontroluj len retazec nemusis aj kontaktovat mailovy server, zbytocne narocne
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
ty sam vies asi najlepsie, co ma byt obsahom emailu (ucel), pripadne ci sa bude zobrazovat aj v nejakom web rozhrani - podla toho sa musis zariadit... cize ak bude formular sluzit len na odosielanie textoveho pozdravu, tak tam predsa nemaju co hladat "zive" html tagy, odkazy a pod...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 29.10.08 Prihlásený: 30.07.12 Príspevky: 933 Témy: 2 | Napísal coldak: 25.05.2010 9:02 | |
|
no htmltagy mozu byt nakolko body mailu moze mat aj html format , otazne je ci ho pri odosielani spravne zaencoduje a predpise sprave mime-type
|
|
Registrovaný: 27.07.07 Príspevky: 3948 Témy: 51 Bydlisko: Bratislava |
mozu byt, ale zabudol si napisat za akych podmienok... prave kvoli tomu som uviedol len priklad s cistym textom, aby ma tu niekto nechytal za slovicka...
_________________ NTB: Acer Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB | RAM: 8GB DDR3 1066 MHz | HDD: 1TB SSD WD BLUE |
|
Registrovaný: 29.10.08 Prihlásený: 30.07.12 Príspevky: 933 Témy: 2 | Napísal coldak: 25.05.2010 9:34 | |
|
ok ok. mea culpa
hlavne by mal nastudovat rfc821
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal autor témy camo: 25.05.2010 12:43 | |
|
No práve s tým je trochu problém, lebo sa pohrávam aj s myšlienkou zapliesť do toho aj HTML. Bez neho by snáď(?) stačilo to previesť cez fciu htmlentities() a bolo by.
Napadá ma ešte(ako som to videl), že reťazec, aby nebol interpretovaný PHP(a o to ide, nie?), tak to dať do úvodzoviek, prípadne to dať nejako takto - (string)$_POST[body] - ale to neviem, či je syntakticky a logicky správne. Chápem to dobre?
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 25.05.2010 17:35 | |
|
camo píše: Napadá ma ešte(ako som to videl), že reťazec, aby nebol interpretovaný PHP(a o to ide, nie?), tak to dať do úvodzoviek, prípadne to dať nejako takto - (string)$_POST[body] - ale to neviem, či je syntakticky a logicky správne. Chápem to dobre? Somarina. Pokial nepouzijes eval, nema sa PHP kod z POSTu ako vykonat.
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal autor témy camo: 25.05.2010 17:58 | |
|
Určite Ďuri, toto je pre mňa otázka života a smrti!? Raz to už konečne chcem pochopiť.
Takže bez eval nejaké php injection nehrozí? O to mi ide....
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 25.05.2010 18:20 | |
|
Teda no, mozes byt nachylny na PHP injection ked robis hluposti typu include $_GET["page"].".php". Ale to, co si pisal ty, prebehnut nemoze.
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal autor témy camo: 25.05.2010 19:33 | |
|
OK, vďaka za vysvetlenia...
Sú ešte nejaké pripomienky?
|
|
Registrovaný: 05.09.09 Príspevky: 1141 Témy: 127 Bydlisko: Lehota pod ... | Napísal autor témy camo: 25.05.2010 22:58 | |
|
No práve sa mi podarilo zapliesť do toho aj HTML, bude to mať nejaký vplyv na bezpečnosť?
Ja viem, stále dokola to isté....
|
|
| Stránka: 1 z 1
| [ Príspevkov: 12 ] | |
Podobné témy | Témy | Odpovede | Zobrazenia | Posledný príspevok |
---|
| Java vstup funkcie v Assembler, C, C++, Pascal, Java | 6 | 554 | 28.11.2011 23:49 walther | | pomalé spracovanie funkcie mail() v PHP, ASP | 6 | 457 | 03.04.2010 20:14 1daemon1 | | Ako ošetriť desatinnú čiarku? v PHP, ASP | 5 | 884 | 31.10.2012 12:31 killer | | Ako osetrit a nafarbit preglejku? v Voľný čas a hobby | 5 | 424 | 05.02.2022 18:27 4040 | | Nieco ako textarea v JavaScript, VBScript, Ajax | 12 | 905 | 21.02.2008 14:36 emer | | neviem ako ale nemam LAN vstup... v Siete | 5 | 350 | 28.10.2011 11:42 michalesku | | Ako includovať funkcie v PHP, ASP | 1 | 350 | 24.03.2012 18:47 shaggy | | Ako zapnut vsetky funkcie v Ovládače | 0 | 620 | 02.10.2008 13:00 jot | | Aktívny subwoofer ako nastaviť vysokoúrovňový vstup HI/LOW prevodnik v Elektronika | 2 | 648 | 27.12.2019 15:42 jamal | | Ako pockat na Asynchronne funkcie. v JavaScript, VBScript, Ajax | 2 | 500 | 08.02.2017 8:59 doubleR | | Problem ako zmeniť názov funkcie v PHP, ASP | 8 | 614 | 19.01.2010 16:37 onkel1 | | C (FILE ako parameter funkcie) v Assembler, C, C++, Pascal, Java | 1 | 630 | 29.10.2009 11:16 benji0o | | Ako sprístupniť všetky funkcie Adb va2111 v Siete | 1 | 755 | 17.11.2018 21:13 patro16 | | String ako návratová hodnota funkcie v C++ v Assembler, C, C++, Pascal, Java | 1 | 979 | 06.04.2008 23:11 Ivan11114 | | Ako zmeniť Fn funkcie na Samsung 350U? v Notebooky a netbooky | 0 | 398 | 16.01.2014 11:03 emajko159 | | ako skopirovat mail?? v Sieťové a internetové programy | 5 | 1239 | 14.02.2007 20:43 Doudo |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|