ct 22 2005 Mail-Formulare absichern

[Martin Truckenbrodt]

Hallo miteinander,
schöner Artikel auf den Seiten 208-209. Unter dem Soft_link bekommt man auch ein noch stärker abgesichertes Skript.

Nur funzt bei mir die Mailcode Abfrage nicht - bekomme immer die die() Meldung:

Code: Alles auswählen

 //Erzeuge einen zufällig aussehenden Zugangscode aus dem Datum ...
$code = chr(date("m") * 3 + date("y") + 30) . chr(date("d") * 2 + 40);
  //... den der Anwender mittels verborgenem Eingabefeld übergibt.
  //So lässt sich das Gros der skriptgesteuerten Angriffe von
  //vornherein abblocken.
if (!isset($_POST['code']) || $_POST['code'] != $code) die ('Mailcode fehlt!');
  //Liste der zu überprüfenden Formularfelder:
  //'absender' muss genau eine Mailadresse sein,
  //'betreff' ist ein mindestens drei Zeichen langer Text ohne Umbruch,
  //'text' muss zehn Zeichen lang sein.

...

<input type="hidden" id="code" name="code" value="
<?php
//Der gleiche Algorithmus wie oben!
//htmlentities() entschärft eventuelle Sonderzeichen.
echo(htmlentities(chr(date("m") * 3 + date("y") + 30) . chr(date("d") * 2 + 40)));?>
						"/>

Lösche ich testweise

Code: Alles auswählen

 || $_POST['code'] != $code

heraus, funzt die Sache.

Danke und Gruß Martin

[Martin Truckenbrodt]

Hallo,
das testweise Herausnehmen von

Code: Alles auswählen

htmlentities

bringt leider auch nichts.

Gruß Martin

[Jensemann]

Guck doch erstmal, auf was $_POST["code"] bei dir gesetzt ist, nachdem du das Formular abschickst.

[Martin Truckenbrodt]

Hallo Jens,
die Übergabe von 'code' klappt, $_POST["code"] bringt (auf den ersten Blick) das selbe Ergebnis wie $code.

Ich habe gerade mal Folgendes gemacht:

Code: Alles auswählen

if (!isset($_POST['code']) || $_POST['code'] == $code) die ('Mailcode fehlt!');

Jetzt scheint es funzen. Nur komme ich mangels Erfahrung mit der Syntax dieser Zeile nicht ganz zurecht.

Funktioniert das Skript jetzt richtig oder habe ich nur ein Workaround erstellt?

Hier gibt es das komplette Mail-Formular: ftp://ftp.heise.de/pub/ct/listings/0522-208.zip

Gruß Martin

[Martin Truckenbrodt]

Hallo,
habe mich bezüglich Operatoren etwas schlauer gemacht :
Ich hatte wohl zuletzt wirklich nur ein Workaround erstellt.

Das Problem scheint wirklich der Ausdruck

Code: Alles auswählen

$_POST['code'] != $code

zu sein.
Sind das vielleicht irgendwie unterschiedliche Datentypen?

Gruß Martin

[Martin Truckenbrodt]

Hallo,

gettype($code); und gettype($_POST['code']); ergeben beide als Ergebnis string.

Hilfe!

Gruß Martin

[Pyramide]

Meine Vermutung wäre, daß das Problem die Leerzeile hier ist:

Code: Alles auswählen

<input type="hidden" id="code" name="code" value="
<?php

[Martin Truckenbrodt]

Hallo Pyramide,

Treffer versenkt! Bist ein Schatz!

Ich hätte den Code doch nicht "aufräumen" sollen!

Ich werde es Dir nie vergessen!

Danke und Gruß Martin

[Martin Truckenbrodt]

Hallo,
falsl jemand auch das Skript von der c't eingebaut hat und sich wundert wieso es am 25.11. noch geht und am 26.11. nicht mehr, hier die Auflösung:
Die Funktion für den Mailcode muss wie folgt ausssehen, damit man vernünftige ASCII Zeichen bekommt (nur Großbuchstaben und vor allem keine Sonderzeichen! ):

Code: Alles auswählen

chr(date("m") + date("y") + 59) . chr(floor(date("d") / 2) + 65);

Ansonsten finde ich das Skript super. Man kann z.B. auch recht einfach eine Auswahl für mehrere verschiedene Ansprechpartner einbauen.

Bin schon am überlegen eventuell einen phpBB MOD draus zu machen. Alle ähnlichen MODs, die ich die letzten Tagen sah, waren wesentlich umfangreicher, was IMO für ein Notfall Kontaktformular (Kennwort vergessen, Forum kaputt, Beschwerde, usw...) nicht notwendig ist.

Gruß Martin

[easygo]

falsl jemand auch das Skript von der c't eingebaut hat und sich wunder weiso es am 25.11. noch geht und am 26.11. nicht mehr

Nö, kann ich nicht bestätigen. Funktioniert nach wie vor. easy