Kontaktformular

[nuunuu]

Hi, hab ein Kontaktformular gefunden:

Code: Alles auswählen

<?
if ($option==1)
{
 mail("mailaddy@server.de","[KONTAKTFORMULAR-SCHREIBEN]",
 "Name: $name\nE-Mail: $email\n\nMitteilung:\n$mitteilung",
 "From: AUTOMATISCH");
 echo "Ihre Mitteilung wurde erfolgreich abgesendet!";
}
else
{
 ?>
 <form method="post">
 <input type="hidden" name="option" value="1">
 <table border="0" cellpadding="0" cellspacing="0">
  <tr>
   <td>Name</td>
   <td><input type="text" size="15" name="name"></td>
  </tr>
  <tr>
   <td>E-Mail</td>
   <td><input type="text" size="15" name="email" value="@"></td>
  </tr>
  <tr>
   <td>Mitteilung</td>
   <td><textarea name="mitteilung" rows="5" cols="20"></textarea></td>
  </tr>
  <tr>
   <td colspan="2"><input type="submit" value="Absenden"></td>
  </tr>
 </table>
 </form>
 <?
}
?>

Warum öffnet sich beim Klick auf senden mein E-Mail programm???

Bye nuunuu

[Martin Truckenbrodt]

Hallo,
willst Du eine Spammaschine bauen?

Ich habe das hier auf mehreren Seiten im Einsatz: ftp://ftp.heise.de/pub/ct/listings/0522-208.zip

Gruß Martin

[fanrpg]

ausserdem muss das:

Code: Alles auswählen

if ($option==1)
{ 
 mail("mailaddy@server.de","[KONTAKTFORMULAR-SCHREIBEN]", 
 "Name: $name\nE-Mail: $email\n\nMitteilung:\n$mitteilung", 
 "From: AUTOMATISCH"); 
 echo "Ihre Mitteilung wurde erfolgreich abgesendet!"; 
}

so aussehen:

Code: Alles auswählen

if ($_POST['option'] == 1)
{ 
 mail("mailaddy@server.de","[KONTAKTFORMULAR-SCHREIBEN]", 
 "Name: $_POST[name]\nE-Mail: $_POST[email]\n\nMitteilung:\n$_POST[mitteilung]", 
 "From: AUTOMATISCH"); 
 echo "Ihre Mitteilung wurde erfolgreich abgesendet!"; 
}

oder so

Code: Alles auswählen

if ($HTTP_POST_VARS['option'] == 1)
{ 
 mail("mailaddy@server.de","[KONTAKTFORMULAR-SCHREIBEN]", 
 "Name: $HTTP_POST_VARS[name]\nE-Mail: $HTTP_POST_VARS[email]\n\nMitteilung:\n$HTTP_POST_VARS[mitteilung]", 
 "From: AUTOMATISCH"); 
 echo "Ihre Mitteilung wurde erfolgreich abgesendet!"; 
}

Desweiteren da das keine HTML E-Mail werden soll (sieht nach email() so aus:

Code: Alles auswählen

if ($_POST['option'] == 1)
{ 
 mail("mailaddy@server.de","[KONTAKTFORMULAR-SCHREIBEN]", 
 "Name: $_POST[name]\nE-Mail: $_POST[email]\n\nMitteilung:\n".strip_tags($_POST['mitteilung']), 
 "From: AUTOMATISCH"); 
 echo "Ihre Mitteilung wurde erfolgreich abgesendet!"; 
}

[Dennis63]

So ein Script reicht aber noch nicht aus. Damit wäre "Emaill Injection" möglich. Es gibt hierfüt Bots, die das Internet (ähnlich wie Suchmaschinen) nach solchen schlechten Scripts druchsuchen. Sie senden so präparierte Texte, daß PHP den Text als "Erweiterter Header" einterpretiert und somit die Email umleitet. Zusätzlich wird eine MIME-Kodierung angehängt, die den Text überschreibt und eine Spam-Email anhängt.
Einmal gefunden, werden dann einige 1000 Emails über Deinen Server verschickt.

Grüße
Dennis

[S2B]

@Dennis: Und wie kann man das am wirkungsvollsten verhindern?

[Martin Truckenbrodt]

Hallo,
nimm einfach das Skript aus dem Link weiter oben.

Gruß Martin

[123teddy321]

du hast in deinem formtag keine action angegeben. also mache aus:

Code: Alles auswählen

<form method="post">

in

Code: Alles auswählen

<form method="post" action="dateiname.php">

dann müsste es gehn!

[S2B]

nimm einfach das Skript aus dem Link weiter oben.

Das hab ich übersehen.

[Dennis63]

@Dennis: Und wie kann man das am wirkungsvollsten verhindern?

Indem Du die eingehenden Variablen auf illegale Inhalte hin überprüfst.

Hier braucht man aber nicht das Rad neu erfinden, Google liefert viele fertige Scripte, die sowas machen. Da kann man sich das dann "abgucken".

Noch besser wäre es, den Inhalt gleich MIME-Kodieren, dann ist (eigentlich) gar nichts mehr möglich.

Grüße
Dennis

[nuunuu]

danke an alle, die geantwrotet haben. Ich gebe zu, es war spät abends, als ich das Skript gefunden hab. auserdem hab ich von php net wirklich ahnung... bin zur Zeit dabei XHTML, und PHP in der Schule zu lernen... hoffe mal, das das jetzt klappt.

Bye nuunuu