login  Naam:   Wachtwoord: 
Registreer je!
Scripts > PHP > Contact formulieren > Basis Contact Formulier


Reacties op het script Basis Contact Formulier

Offline  WouterJ
Gepost op: 04 september 2013 - 23:58
HTML gevorderde



Verkeerde mailheaders en kijken of een form gepost is doen we met de request method...

Offline  Pieter
Gepost op: 05 september 2013 - 08:17
Gouden medaille

SEO guru




En spijtig dat ingevoerde waarden volledig verloren gaan als er 1 foutje is. Geen enkele bezoeker die die moeite terug doet om alles opnieuw in te geven.

Offline  DenMette
Gepost op: 05 september 2013 - 08:31
PHP gevorderde



@WouterJ: Ik doe dit nooit zo, maar ik zal het script herwerken naar dit.

@Pieter: Jou probleem zullen we ook onderhanden nemen, je hebt daar wel een punt.


---
@WouterJ: Kan je misschien helpen voor de juiste headers wel toe te voegen?

Offline  Thomas
Gepost op: 16 november 2013 - 21:35
Moderator



Mogelijk onveilig omdat $email uit meerdere regels mag bestaan (gevolg: MIME header injection mogelijk) / er wordt niet goed gecontroleerd of $email een e-mailadres is.

Offline  Thomas
Gepost op: 06 mei 2014 - 14:04
Moderator



Alles uit (onder andere) $_POST en $_GET zijn bij mijn weten strings. Ik zie dan ook niet in waar de is_null controles (op verschillende plaatsen in de scripts) voor zijn.

Het is volgens mij nog steeds mogelijk om MIME headers te injecteren in $name. Deze accepteert regelovergangen, dus je zou $name de waarde: "Ontvanger <[het e-mailadres $email]>
Bcc: Spam <spam@meplenty.org" of iets dergelijks kunnen geven...

Ook kun je het formulier makkelijk breken (als je deze niet goed of niet volledig invult) omdat de teruggeplaatste waarden van $_POST in het geheel niet worden geescaped. Zet ergens maar eens een " (dubbele quote) of </textarea> in...

Qua security laat dit script (nog steeds) nogal te wensen over.

Overigens is het voltooid deelwoord van het werkwoord to send gelijk aan sent. Als je dus een boolse variabele hebt die aangeeft of het e-mailbericht succesvol is verzonden, dan zou deze isSent of iets dergelijks moeten heten, niet isSended.

Het volgende is mogelijk een kwestie van voorkeur, maar ik zou && en || gebruiken in plaats van "and" en "or". Een uitzondering hierop zijn wellicht constructies zoals "... or die(...)...".

Offline  DenMette
Gepost op: 06 juni 2014 - 15:55
PHP gevorderde



FargorN, bedankt voor de feedback, hiermee kan ik weer verder om het script aan te passen.

We zullen eens zien hoe het vordert


Enkel aanvullende informatie, vragen en antwoorden op vragen zijn welkom.
 
© 2002-2024 Sitemasters.be - Regels - Laadtijd: 0.054s