| Ver tema anterior :: Ver tema siguiente |
| Autor |
Mensaje |
Sabogal
Yo uso Google
Registrado: 12 May 2005
Mensajes: 1384
|
 Publicado: Mar Sep 21, 2010 10:18 pm Asunto: Riesgo de seguridad con este código php? |
 |
|
Quier utilizar el siguiente código php como formulario de contacto en un sitio hecho en wordpress y tengo dudas respecto a su seguridad:
| Código: | <?php
///////Configuración/////
$mail_destinatario = 'contactar@dominio.com';
///////Fin configuración//
if (isset ($_POST['enviar'])) {
$headers .= "From: ".$_POST['nombre']. "(Contacto)";
if ( mail ($mail_destinatario, $_POST['asunto'], "Nombre y apellidos : ".$_POST['nombre']." Asunto: ".stripcslashes ($_POST['asunto'])."n Mensaje: ".stripcslashes ($_POST['mensaje']), $headers )) echo '
<p>Su mensaje se ha enviado correctamente. Gracias por contactarme.</p>
';
else echo'
Error al enviar el formulario. Por favor, inténtelo de nuevo mas tarde.
'; }
echo '
<form action="#contact" method="post"> <label for="nombre">Nombre y apellidos: </label><br>
<input type="text" name="nombre" size="40" maxlength="80"><br> <label for="email">Email: </label><br>
<input type="text" name="email" size="40" maxlength="60"><br> <label for="asunto">Asunto: </label><br>
<input type="text" name="asunto" size="40" maxlength="60"><br> <label for="mensaje">Mensaje: </label><br>
<textarea name="mensaje" cols="45" rows="5"></textarea> <br>
<label for="enviar">
<input type="submit" name="enviar" value="Enviar"></label>
</form>
';
?> |
_________________
Contador público |
|
| Volver arriba |
|
 |
JustMe
Vivo en Xeoweb
Registrado: 27 Sep 2005
Mensajes: 3070
Ubicación: Por ahí....
|
| Publicado: Mar Sep 21, 2010 10:52 pm Asunto: |
|
|
Es un riesgo absoluto y es sólo cuestión de tiempo para que alguien lo use para enviar spam desde el.
Los datos introducidos por el usuario llegan a la función mail() sin ningún tipo de limpieza o verificación, es muy fácil de usarlo para enviar masivamente spam.
Un forma rápida y fácil de prevenir este tipo de ataques es no permitiendo el uso dentro del mensaje, remitente o cualquier dato introducido por el usuario de las cadenas de texto 'Content-Transfer-Encoding', 'MIME-Version', 'Content-Type', 'multipart/','Content-Disposition''to:', 'cc:', 'cco:' tanto en mayúsculas como en minúsculas.
_________________
PHP Data uri fier
Blog Gratis |
|
| Volver arriba |
|
|
djemili
Vivo en Xeoweb
Registrado: 01 Jun 2004
Mensajes: 2388
|
| Publicado: Jue Oct 28, 2010 2:24 pm Asunto: |
|
|
También deberías evitar los saltos de línea en $_POST['nombre'] y en $_POST['asunto'] o podrían inyectarte headers.
_________________
foros impresoras 3D - prusa mendel. |
|
| Volver arriba |
|
|
luis_zgz
Me paso horas con Ask Jeeves
Registrado: 19 Jun 2009
Mensajes: 237
|
| Publicado: Jue Oct 28, 2010 7:42 pm Asunto: |
|
|
| SIEMPRE debes filtrar los campos que te llegan desde el usuario. Como te están indicando, pueden inyectarte código y ser muy peligroso. |
|
| Volver arriba |
|
|
|
FAQ
Buscar
Miembros
Grupos de Usuarios
Registrarse
Perfil
Entre para ver sus mensajes privados
Login
