gxi Skrevet 26. februar 2007 Del Skrevet 26. februar 2007 (endret) Jeg skrev egentlig et laaangt innlegg, men Firefox crashet på slutten, så da tapte jeg det... Jeg har tidligere skrevet om et problem i følgende to poster: http://norskwebforum.no/viewtopic.php?t=29256 http://www.jonepet-blogg.com/2006/09/usikre_kontaktskjemaer Problemet er enkelt forklart at de færreste validerer input godt nok. De kjører uvaliderte data rett inn i subject-feltet i mail()-funksjonen. Resultatet er at spambotter putter inn linjeskift i dette feltet, legger inn en BCC-header, 20-30 mottakere, og meldingen i samme felt multipartet. Den opprinnelige meldingen blir skjult ved å bruke multiparting, og mottakerene blir endret. Resultat: 20-30 personer mottar spam fra ditt skjema. Omtrendt alle ferdigscript som innebærer mail()-funksjonen man finner rundtomkring på nettet skrevet av "amatører" kan, og blir, utnyttet Om ingen bryr seg om dette problemet nå, kommer dette til å utgjøre en vesentlig del av all spamflom på nettet, og alle webhotell-leverandører vil deaktivere mail()-funksjonen for alle kunder. Jeg kommer nå til å starte å deaktivere mail()-funksjonen for mine kunder der jeg ser at slike script finnes. Endret 26. februar 2007 av jonepet Lenke til kommentar
HolgerL Skrevet 26. februar 2007 Del Skrevet 26. februar 2007 (endret) Les mer om dette og hvordan man tetter smutthullet hos W3Schools: http://w3schools.com/php/php_secure_mail.asp Endret 26. februar 2007 av HolgerLudvigsen Lenke til kommentar
Runar0 Skrevet 26. februar 2007 Del Skrevet 26. februar 2007 Nyttig post det der, må inrømme at eg ikkje har tengt over dette før men så har eg heller aldig lagd noen program som bruke mail noe særlig. Men absolutt noe og tenke over. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå