Hilfe: geparst und ungeparst

Hilfe: geparst und ungeparst

am 19.11.2005 22:33:30 von Stephan Dreisbach

Hallo,
kann mich bitte jemand aufklären:

Über ein Formular erfasse ich u.a. auch eine Mailadresse. Ein Script
verschickt über diese Mailadresse per mail() dann an den Eintragenden
eine Bestätigung.
Jetzt hat mir jemand gesagt, man dürfe Formulardaten nicht ungeparst
an ein Script übergeben, dass die Mailfunktion nutzt.

Was heißt ungeparst (ich werde aus den Angaben bei google nicht
schlau)? Wo kann ich das nachlesen? Wie kann ich das absichern?

Danke für eure Hilfe, bin völlig ratlos.

--
Stephan

Re: Hilfe: geparst und ungeparst

am 19.11.2005 23:19:07 von Joerg Behrens

Stephan Dreisbach schrieb:
> Hallo,
> kann mich bitte jemand aufklären:
>
> Über ein Formular erfasse ich u.a. auch eine Mailadresse. Ein Script
> verschickt über diese Mailadresse per mail() dann an den Eintragenden
> eine Bestätigung.
> Jetzt hat mir jemand gesagt, man dürfe Formulardaten nicht ungeparst
> an ein Script übergeben, dass die Mailfunktion nutzt.
>
> Was heißt ungeparst (ich werde aus den Angaben bei google nicht
> schlau)? Wo kann ich das nachlesen? Wie kann ich das absichern?
>
> Danke für eure Hilfe, bin völlig ratlos.
>


Du darfst keine Werte ohne validierung speichern bzw. weiterverarbeiten.
Jenach dem in welchem Kontext die Daten verwendet werden dreht man die
nen Strick draus.

Um bei mail() zubleiben sei zu erwaehnen das wenn jemand "\nfrom:foo..."
einschleusen kann um weitere Header zu erzeugen.

Schau dir mal ein paar Aritikel zum Thema SQL Injection, XSS an.

Gruss
Joerg

Re: Hilfe: geparst und ungeparst

am 19.11.2005 23:31:06 von Stephan Dreisbach

Joerg Behrens schrieb:

[..]
>> Über ein Formular erfasse ich u.a. auch eine Mailadresse. Ein Script
>> verschickt über diese Mailadresse per mail() dann an den Eintragenden
>> eine Bestätigung.
[..]
>
>Du darfst keine Werte ohne validierung speichern bzw. weiterverarbeiten.
>Jenach dem in welchem Kontext die Daten verwendet werden dreht man die
>nen Strick draus.
>
>Um bei mail() zubleiben sei zu erwaehnen das wenn jemand "\nfrom:foo..."
> einschleusen kann um weitere Header zu erzeugen.
>
>Schau dir mal ein paar Aritikel zum Thema SQL Injection, XSS an.

Nochmal zum Verständnis:
Auf einer HTML-Seite gibt es ein Forumlar, das u.a. ein Textfeld mit
dem Namen Adressat enthält (hier steht eine Mailadresse drin). Beim
Abschicken werden die Daten an das Script verarbeiten.php geschickt,
das wiederum eine Mail an $Adressat schickt.

Wenn nun jemand sofort das Script
verarbeiten.php?Adressat=irgendwas@irgendwas.de aufruft, wird das
Script ja auch ausgeführt, ohne vom HTML-Formular aufgerufen worden zu
sein. Das gilt es zu verhindern, richtig?

Re: Hilfe: geparst und ungeparst

am 20.11.2005 00:03:46 von Niels Braczek

Stephan Dreisbach schrieb:

> Wenn nun jemand sofort das Script
> verarbeiten.php?Adressat=irgendwas@irgendwas.de aufruft, wird das
> Script ja auch ausgeführt, ohne vom HTML-Formular aufgerufen worden zu
> sein. Das gilt es zu verhindern, richtig?

Zum Beispiel. Aber es gibt auch andere Einbruchsmöglichkeiten. Wonach du
suchen musst, hat Jörg dir ja schon genannt.

MfG
Niels

--
| http://www.kolleg.de · Das Portal der Kollegs in Deutschland |
| http://www.bsds.de · BSDS Braczek Software- und DatenSysteme |
| Webdesign · Webhosting · E-Commerce · Mambo Content Management |
`----------------------------------------------------------- -----´

Re: Hilfe: geparst und ungeparst

am 20.11.2005 08:59:06 von Stephan Dreisbach

Niels Braczek schrieb:

>Stephan Dreisbach schrieb:
>
>> Wenn nun jemand sofort das Script
>> verarbeiten.php?Adressat=irgendwas@irgendwas.de aufruft, wird das
>> Script ja auch ausgeführt, ohne vom HTML-Formular aufgerufen worden zu
>> sein. Das gilt es zu verhindern, richtig?
>
>Zum Beispiel. Aber es gibt auch andere Einbruchsmöglichkeiten. Wonach du
>suchen musst, hat Jörg dir ja schon genannt.

Wenn ich das, was ich gelesen habe, richtig interpretiere, muss ich
also aus allen Formularvariablen