Scripts - Tutorials - Forum - Downloads - Showcase - Contact

Artikels

VPN vergelijken

Algemeen

Beginpagina

FAQ

Grafische worm (243)

Links

Nieuwsartikels

Nieuwsarchief

Boeken programmeren

Overzicht

Samenwerken

Webhosting

Zoek op Sitemasters

Leden

Registreren

Ledenlijst

Ons team

Links

webhostingtop10.be

Sociale media

Follow @sitemasters

Sitemasters

Adverteren op Sitemasters?

Contacteer ons

RSS

Link naar ons

Donaties

Poll

Je moet ingelogd zijn om te stemmen.

Statistieken

Linkpartners

Scripts > PHP > Contact formulieren > Basis Contact Formulier

Reacties op het script Basis Contact Formulier

WouterJ

Gepost op: 04 september 2013 - 23:58

HTML gevorderde

Verkeerde mailheaders en kijken of een form gepost is doen we met de request method...

Pieter

Gepost op: 05 september 2013 - 08:17

SEO guru

En spijtig dat ingevoerde waarden volledig verloren gaan als er 1 foutje is. Geen enkele bezoeker die die moeite terug doet om alles opnieuw in te geven.

DenMette

Gepost op: 05 september 2013 - 08:31

PHP gevorderde

@WouterJ: Ik doe dit nooit zo, maar ik zal het script herwerken naar dit.

@Pieter: Jou probleem zullen we ook onderhanden nemen, je hebt daar wel een punt.

---
@WouterJ: Kan je misschien helpen voor de juiste headers wel toe te voegen?

Thomas

Gepost op: 16 november 2013 - 21:35

Moderator

Mogelijk onveilig omdat $email uit meerdere regels mag bestaan (gevolg: MIME header injection mogelijk) / er wordt niet goed gecontroleerd of $email een e-mailadres is.

Thomas

Gepost op: 06 mei 2014 - 14:04

Moderator

Alles uit (onder andere) $_POST en $_GET zijn bij mijn weten strings. Ik zie dan ook niet in waar de is_null controles (op verschillende plaatsen in de scripts) voor zijn.

Het is volgens mij nog steeds mogelijk om MIME headers te injecteren in $name. Deze accepteert regelovergangen, dus je zou $name de waarde: "Ontvanger <[het e-mailadres $email]>
Bcc: Spam <spam@meplenty.org" of iets dergelijks kunnen geven...

Ook kun je het formulier makkelijk breken (als je deze niet goed of niet volledig invult) omdat de teruggeplaatste waarden van $_POST in het geheel niet worden geescaped. Zet ergens maar eens een " (dubbele quote) of </textarea> in...

Qua security laat dit script (nog steeds) nogal te wensen over.

Overigens is het voltooid deelwoord van het werkwoord to send gelijk aan sent. Als je dus een boolse variabele hebt die aangeeft of het e-mailbericht succesvol is verzonden, dan zou deze isSent of iets dergelijks moeten heten, niet isSended.

Het volgende is mogelijk een kwestie van voorkeur, maar ik zou && en || gebruiken in plaats van "and" en "or". Een uitzondering hierop zijn wellicht constructies zoals "... or die(...)...".

DenMette

Gepost op: 06 juni 2014 - 15:55

PHP gevorderde

FargorN, bedankt voor de feedback, hiermee kan ik weer verder om het script aan te passen.

We zullen eens zien hoe het vordert

Enkel aanvullende informatie, vragen en antwoorden op vragen zijn welkom.