[ Príspevkov: 12 ] 
AutorSpráva
Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...

Je to vôbec potrebné? Asi hej, ale neviem čoho by som sa mal obávať(akej formy útoku)? Ešte v tom neviem chodiť :oops:
Postup je prosté predanie premennej $_POST['body/address/subject'] do funkcie mail(). Čo tam mám otestovať atď.?
Môže mi niekto dať nejaký príklad takého útoku?


Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 01.04.10
Prihlásený: 08.10.11
Príspevky: 343
Témy: 0 | 0

chces skontrolovat validitu emailu?
vygoogli si (alebo napis si) regularny vyraz na kontrolu - ale kontroluj len retazec nemusis aj kontaktovat mailovy server, zbytocne narocne


Offline

Správca fóra
Správca fóra
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

ty sam vies asi najlepsie, co ma byt obsahom emailu (ucel), pripadne ci sa bude zobrazovat aj v nejakom web rozhrani - podla toho sa musis zariadit... cize ak bude formular sluzit len na odosielanie textoveho pozdravu, tak tam predsa nemaju co hladat "zive" html tagy, odkazy a pod...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 29.10.08
Prihlásený: 30.07.12
Príspevky: 933
Témy: 2 | 2

no htmltagy mozu byt nakolko body mailu moze mat aj html format , otazne je ci ho pri odosielani spravne zaencoduje a predpise sprave mime-type


Offline

Správca fóra
Správca fóra
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 27.07.07
Príspevky: 3971
Témy: 51 | 51
Bydlisko: Bratislava
Vek: 32

mozu byt, ale zabudol si napisat za akych podmienok... prave kvoli tomu som uviedol len priklad s cistym textom, aby ma tu niekto nechytal za slovicka...


_________________
Desktop: CPU: AMD Athlon64 3000+ | MB: Biostar K8T890-A9 | VGA: NVIDIA GeForce 6200 LE 256MB | RAM: 2x 1GB A-DATA DDR 400 MHz Dual Kit | HDD: WD Caviar Blue 320GB | DVD: LG GSA-H10N | Keyboard: Chicony KU-0420 Silver/Black | Mouse: Logitech RX1000 | Zdroj: Corsair CX400 400W | CASE: DELUX DLC-MD370 Black | LCD: 20" Samsung 206BW | Repro: Teac XL-20
Notebook: ACER Aspire 4820TG 14" | CPU: Intel Core i5 2,53 GHz | VGA: ATI Mobility Radeon HD5650 1GB / Intel HD Graphics | RAM: 4GB DDR3 1066 MHz | HDD: 640GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 29.10.08
Prihlásený: 30.07.12
Príspevky: 933
Témy: 2 | 2

ok ok. mea culpa

hlavne by mal nastudovat rfc821


Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
Napísal autor témyOffline : 25.05.2010 12:43 | Ako ošetriť vstup z textarea do funkcie mail()

No práve s tým je trochu problém, lebo sa pohrávam aj s myšlienkou zapliesť do toho aj HTML. Bez neho by snáď(?) stačilo to previesť cez fciu htmlentities() a bolo by.
Napadá ma ešte(ako som to videl), že reťazec, aby nebol interpretovaný PHP(a o to ide, nie?), tak to dať do úvodzoviek, prípadne to dať nejako takto - (string)$_POST[body] - ale to neviem, či je syntakticky a logicky správne. Chápem to dobre?


Offline

Čestný člen
Čestný člen
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

camo píše:
Napadá ma ešte(ako som to videl), že reťazec, aby nebol interpretovaný PHP(a o to ide, nie?), tak to dať do úvodzoviek, prípadne to dať nejako takto - (string)$_POST[body] - ale to neviem, či je syntakticky a logicky správne. Chápem to dobre?
Somarina. Pokial nepouzijes eval, nema sa PHP kod z POSTu ako vykonat.


Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
Napísal autor témyOffline : 25.05.2010 17:58 | Ako ošetriť vstup z textarea do funkcie mail()

Určite Ďuri, toto je pre mňa otázka života a smrti!? Raz to už konečne chcem pochopiť.
Takže bez eval nejaké php injection nehrozí? O to mi ide....


Offline

Čestný člen
Čestný člen
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 11.08.07
Príspevky: 4110
Témy: 30 | 30
Bydlisko: Brno

Teda no, mozes byt nachylny na PHP injection ked robis hluposti typu include $_GET["page"].".php". Ale to, co si pisal ty, prebehnut nemoze.


Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
Napísal autor témyOffline : 25.05.2010 19:33 | Ako ošetriť vstup z textarea do funkcie mail()

OK, vďaka za vysvetlenia...
Sú ešte nejaké pripomienky? :D


Offline

Užívateľ
Užívateľ
Ako ošetriť vstup z textarea do funkcie mail()

Registrovaný: 05.09.09
Príspevky: 1157
Témy: 127 | 127
Bydlisko: Lehota pod ...
Napísal autor témyOffline : 25.05.2010 22:58 | Ako ošetriť vstup z textarea do funkcie mail()

No práve sa mi podarilo zapliesť do toho aj HTML, bude to mať nejaký vplyv na bezpečnosť?
Ja viem, stále dokola to isté.... :oops:


 [ Príspevkov: 12 ] 


Ako ošetriť vstup z textarea do funkcie mail()



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

Java vstup funkcie

v Assembler, C, C++, Pascal, Java

6

324

28.11.2011 23:49

walther

V tomto fóre nie sú ďalšie neprečítané témy.

pomalé spracovanie funkcie mail()

v PHP, ASP

6

243

03.04.2010 20:14

1daemon1

V tomto fóre nie sú ďalšie neprečítané témy.

Ako ošetriť desatinnú čiarku?

v PHP, ASP

5

444

31.10.2012 12:31

killer

V tomto fóre nie sú ďalšie neprečítané témy.

Nieco ako textarea

v JavaScript, VBScript, Ajax

12

530

21.02.2008 14:36

emer

V tomto fóre nie sú ďalšie neprečítané témy.

neviem ako ale nemam LAN vstup...

v Siete

5

152

28.10.2011 11:42

michalesku

V tomto fóre nie sú ďalšie neprečítané témy.

Ako includovať funkcie

v PHP, ASP

1

166

24.03.2012 18:47

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Ako zapnut vsetky funkcie

v Ovládače

0

387

02.10.2008 13:00

jot

V tomto fóre nie sú ďalšie neprečítané témy.

Problem ako zmeniť názov funkcie

v PHP, ASP

8

343

19.01.2010 16:37

onkel1

V tomto fóre nie sú ďalšie neprečítané témy.

Ako pockat na Asynchronne funkcie.

v JavaScript, VBScript, Ajax

2

126

08.02.2017 8:59

doubleR

V tomto fóre nie sú ďalšie neprečítané témy.

C (FILE ako parameter funkcie)

v Assembler, C, C++, Pascal, Java

1

393

29.10.2009 11:16

benji0o

V tomto fóre nie sú ďalšie neprečítané témy.

Ako zmeniť Fn funkcie na Samsung 350U?

v Notebooky a netbooky

0

45

16.01.2014 11:03

emajko159

V tomto fóre nie sú ďalšie neprečítané témy.

String ako návratová hodnota funkcie v C++

v Assembler, C, C++, Pascal, Java

1

771

06.04.2008 23:11

Ivan11114

V tomto fóre nie sú ďalšie neprečítané témy.

ako skopirovat mail??

v Sieťové a internetové programy

5

740

14.02.2007 20:43

Doudo

V tomto fóre nie sú ďalšie neprečítané témy.

vratit navratovu hodnotu z callback funkcie ako prvu bez async: false

v JavaScript, VBScript, Ajax

0

178

15.12.2015 20:14

DeeJay3

V tomto fóre nie sú ďalšie neprečítané témy.

Ako na mail server

v Operačné systémy Unix a Linux

1

243

10.06.2010 12:07

SkyHiRider

V tomto fóre nie sú ďalšie neprečítané témy.

Stači ošetriť všetko naraz?

v PHP, ASP

3

134

04.09.2014 0:22

walther



© 2005 - 2017 PCforum, edited by JanoF