[PaterNoster]

Gerade beim Stöbern auf der Suche nach der Lösung für mein phpMailer-Problem gefunden:

http://www.drweb.de/webmaster/kontakt-formulare.shtml

Und falls es jetzt wieder das falsche Forum sein sollte: Ich wusste echt nicht genau, wohin damit... im Zweifelsfall bitte (mal wieder) verschieben...

[schifti]

Zitat:

PHP-Code:

<?php mail("rene@fsfe.de", "Mail vom Kontaktformular", $txt, "From: $absender\n"); ?>

Man muss doch eigentlich nur $absender checken.

Man muss ja auch die einzelnen Headerteile voneinander via \r\n trennen, dann würde ich eine Überprüfung machen, ob im Absender \r, \n o. \r\n vorkommt, was eigentlich bei der Adressen Überprüfung schon passiert ist.

Wie soll den ein HeaderTeil im Message-Bereich als Header gewertet werden? => gar nicht.


=> Richtige überprüfung des Absender bzw. der Var. die im Header-Teil drinn vorkommen (From:.....), dann passiert auch nichts.

[beny_mcde]

hab das mal getested, da ich vor wenigen tagen auf der arbeit auch ein kontakt formular programmiert habe...
irgendwie hat das aber nicht so ganz funktioniert, da das \n anscheinend automatisch escaped wird.

folgender simpler test

Code:

<form>
 <input name="replyTo">
 <input type="submit">
</form>
<?
 if(isset($_GET['replyTo'])){
 
  $header = "From: system@localhost\r\n" .
           "Reply-To: {$_GET['replyTo']}\r\n" .
           "X-Mailer: PHP/" . phpversion()."\r\n" .
           "Content-type: text/html; charset=UTF-8\r\n"; 
               
   echo "<pre>$header</pre>"; 
 }
?>

ergab mit dem teststring aus dem beispiel folgenden header

Code:

From: system@localhost
Reply-To: irgendjemand@irgendwo.xyz\\nCc: spamopfer@sonstwo.xyz, nocheinopfer@anderswo.xzy
X-Mailer: PHP/5.0.5
Content-type: text/html; charset=UTF-8

also was muss ich richtig bzw falsch machen damit es funktioniert?

[Chr!s]

Auf den Systemen, auf denen magic_quotes_gpc aktiviert ist (siehe phpinfo() ) werden Sonderzeichen automatisch mit einem Backslash (\) versehen, so wird dann \n auch zu \\n, \ zu \\ ' zu \' usw..

[Lars]

Direkt in erzeugten Strings eigentlich nicht, _gpc ist für die Request-Arrays zuständig, _runtime für Zugriffe auf Dateien, Streams, etc.


// Edit:
Post #500

[Chr!s]

Zitat:

Zitat von Lars

Direkt in erzeugten Strings eigentlich nicht, _gpc ist für die Request-Arrays zuständig, _runtime für Zugriffe auf Dateien, Streams, etc.


// Edit:
Post #500

Gut, hab mich ein bisschen unverständlich ausgedrückt..

[PaterNoster]

Mal eben noch schnell eingeworfen: Ich wusste gar nicht, dass das so möglich ist. Ist irgendwie an mir vorbei gegangen. Bin ich da wirklich der Einzige? So richtig bekannt ist die Problematik an sich aber auch nicht - mal abgesehen von der Problematik, dass man keinen Werten von außerhalb des Scripts trauen darf.

[beny_mcde]

Zitat:

Zitat von PaterNoster

Ich wusste gar nicht, dass das so möglich ist. Ist irgendwie an mir vorbei gegangen. Bin ich da wirklich der Einzige? So richtig bekannt ist die Problematik an sich aber auch nicht

um so schlimmer...
problematiken und sicherheitslücken die man nicht kennt, kann man auch nicht vermeiden...
deshalb ist aufklärung angesagt, wird ja durch diesen thread schon betrieben...

hab mal magic_quotes_gpc ausgeschaltet aber es geht trotzdem nicht...
das \n wird nun zwar nicht mehr escaped, aber einfach als \n dargestellt und es bewirkt keinen zeichenumbruch...

Code:

From: system@localhost
Reply-To: ichfickdich@gmx.de\nCc: opfer1@gmx.de, opfer2@gmx.de
X-Mailer: PHP/5.0.5
Content-type: text/html; charset=UTF-8

kann man davon ausgehen das magic_quotes bei einem webhoster läuft, oder gäbe es eine grund für ihn dieses zu deaktivieren?
es schein ja ein recht nützliches feature zu sein...

[robo47]

öhm wenn du nen string mit ' ausgibst, tut es nicht, sprich ud musst:

echo "\n";
anstatt
echo '\n';

verwenden.

[beny_mcde]

Zitat:

Zitat von robo47

öhm wenn du nen string mit ' ausgibst, tut es nicht, sprich ud musst:

echo "\n";
anstatt
echo '\n';

verwenden.

öhm wenn du weiter oben schaust siehst du das ich den string mit "" ausgegeben habe... aber irgendwie hauts trozdem net hin

vieleicht macht sich mir zuliebe mal jemand die (etwa 2 minütige) arbeit und scripted so einen mailhack wie der meinige, nur mit dem unterschied das er funktionieren sollte...

mfg beny

[Lars]

PHP-Code:

$string = "$string"; 


Kommt dadurch was besseres raus?

Oder

PHP-Code:

$string = str_replace('\n', "\n", $string); 


[robo47]

2teres kann etwas bringen
wäre quasi wie

str_replace("\\n","\n",$string);

[sparrow]

Ist das vielleicht von dem Betriebssystem abhängig auf dem der Server läuft?
Ich kenn das nur aus dem Java-Feld, aber da ist eine neue Zeile in einer Textdatei (also er hier angesprochene Escape für Newline) ist unter Windows anders als unter Linux.




Gruß
Sparrow