Bonjour,
J'ai lu une partie de la documentation sur la fonction mail(), sur le hijack mail, est ce qu'il est necessaire de la proteger?
Merci
la communauté d'entraide francophone dédiée au PHP
Securite: La fonction mail
Mammouth du PHP |
702 Messages
il faut surtout que tu sécurise ton header afin d'empêcher quelconque injection.
Salut,
Ta question n'est pas assez précise.
On ne protège pas une fonction
Mais des données ou une fonctionnalité.
Dans l'exemple que tu montre il y a une vérification des champs du formulaire pour éviter les spammeurs. Certain protection sont basic, comme le test sur le user agents qui ne sera pas indiqué sur des bots "entrée de gamme" (si je puis dire XD).
L'utilisation d'un jeton de validité pour le formulaire (token chez nos amis anglosaxon).
Le truc correspond à mettre une chaîne (aléatoire c'est mieux) dans un champs caché et tu stock celle ci dans une variable de session pour comparer à la validation du fomulaire. Quand tu as validé le formulaire tu supprime cette variable.
Avec sa tu evite tous les bots qui "copie" le formulaire et le réutilise.
Tous ceci pour éviter que l'on se serve de ton formulaire de contact (par exemple) pour spammeurs la terre entière (ou à défaut juste toi ).
@+
Ta question n'est pas assez précise.
On ne protège pas une fonction
Mais des données ou une fonctionnalité.
Dans l'exemple que tu montre il y a une vérification des champs du formulaire pour éviter les spammeurs. Certain protection sont basic, comme le test sur le user agents qui ne sera pas indiqué sur des bots "entrée de gamme" (si je puis dire XD).
L'utilisation d'un jeton de validité pour le formulaire (token chez nos amis anglosaxon).
Le truc correspond à mettre une chaîne (aléatoire c'est mieux) dans un champs caché et tu stock celle ci dans une variable de session pour comparer à la validation du fomulaire. Quand tu as validé le formulaire tu supprime cette variable.
Avec sa tu evite tous les bots qui "copie" le formulaire et le réutilise.
Tous ceci pour éviter que l'on se serve de ton formulaire de contact (par exemple) pour spammeurs la terre entière (ou à défaut juste toi
). @+
Il en faut peu pour être heureux ......
Il y a un plus d'explications ici. Comme le dit piotrowski-s le minimum est de protéger le header. Cela dit ce lien date un peu... et la solution d'utiliser "eregi" n'est plus d'actualité (car déprécié). Utilises plutôt preg_match à la place.
Merci AB je vais lire l'article
Si j'ai bien compris:Le truc correspond à mettre une chaîne (aléatoire c'est mieux) dans un champs caché et tu stock celle ci dans une variable de session pour comparer à la validation du fomulaire. Quand tu as validé le formulaire tu supprime cette variable.
Avec sa tu evite tous les bots qui "copie" le formulaire et le réutilise.
<form ...>
<?php
$maClef = 'test'; // par exemple
$_SESSION['maclef'] = $maClef;
?>
<input type="hidden" name="clef" value="<?php echo $maClef; ?>" />
</form>
<?php
$maClef == $_SESSION['maclef'];
$clef = $_POST['clef'];
if($clef = $maClef)
{
// traitement du formulaire
$_SESSION['maclef'] = array();
}
else
{
echo 'tentative de spam';
}
Tu peux utiliser uniqid pour générer un pseudo aléatoire unique (= $maClef)
Mais bon ça c'est pour éviter (au maximum possible) que des internautes puisse poster sans se connecter à ton site. C'est une protection supplémentaire mais qui ne doit pas te faire oublier la protection du header.
Mais bon ça c'est pour éviter (au maximum possible) que des internautes puisse poster sans se connecter à ton site. C'est une protection supplémentaire mais qui ne doit pas te faire oublier la protection du header.
Sur les champs constituant ton header tu peux appliquer une fonction supprimant les retours lignes par exemple :
function Protege_header($value)
{
$value = str_replace("\n", "", str_replace("\r", "", $value));
return $value;
}
Quand je disais "les champs" je parlais de ceux que tu récupère dans le formulaire, c'est à dire les variables issues du formulaire et qui te servent à faire les headers, évidemment pas des différentes lignes du header qu'on sépare par un "\n".
Lis le lien que je t'ai donné plus haut, tu vois bien qu'il se sert de eregi sur la variable $_POST["expediteur"] (vers la fin de l'article). Dans son exemple de code il fait un die s'il trouve "\n" ou "\r", mais bon plutôt qu'abandonner le srcipt et renvoyer une page blanche on peut simplement supprimer ces caractères. Et j'utilise aussi str_replace dans ma fonction parce que "eregi" est déprécié.
Lis le lien que je t'ai donné plus haut, tu vois bien qu'il se sert de eregi sur la variable $_POST["expediteur"] (vers la fin de l'article). Dans son exemple de code il fait un die s'il trouve "\n" ou "\r", mais bon plutôt qu'abandonner le srcipt et renvoyer une page blanche on peut simplement supprimer ces caractères. Et j'utilise aussi str_replace dans ma fonction parce que "eregi" est déprécié.