Sicurezza Form Mail

[ipnotic]

Ciao a tutti... chiedo a voi xke c'è una cosa ke mi incuriosisce.... su un sito ho realizzato un form dove i visitatori del sito possono inviare delle email ai gestori del sito.... il form prevede 3 campi:

- nome visitatore ($nome)
- email visitatore ($email)
- testo del messaggio ($messaggio)

e gestisco l'invio con questa porzione di codice:

codice:

//Procedo con l'invio della E-Mail
$headers = "From: $email";
//Preparo corpo dell'E-Mail
$corpo = "
Da: ".$nome."
E-mail: ".$email."
IP: ".$ip."
Testo: ".$messaggio;
//Invio l'E-Mail
$ceck = mail("webmaster@miodominio.it", "Messaggio dal sito",$corpo,$headers);

Ultimamente mi continuano ad arrivare alcune email di qualkuno ke o si diverte a inviare email o pure sta cercando di fare qualkosa ke io nn so....vi metto ad esempio le ultime due email ke mi son arrivate:

Da: onnel6808@miodominio.it
E-mail: onnel6808@miodominio.it
IP: 80.***.***.*** (l'ho criptato io)
Testo: onnel6808@miodominio.it

Questa email sembra corretta... l'unica cosa ke mi incuriosisce è ke mettee come nome, mittente e testo quel "onnel6808@miodominio.it" dove miodominio.it è proprio il dominio del sito....

L'altra email ke mi è arrivate ke invece mi incuriosisce di più è questa:

codice:

Da: asked3938@miodominio.it
E-mail: asked3938@miodominio.it
IP: 61.***.***.***
Testo: had
Content-Type: text/plain; charset=\"us-ascii\"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Subject: took possession
bcc: charleselegbed@aol.com

56045125e9c3423e25704e3eb13a078d
.

Secondo voi è solo qualkuno ke nn ha niente da fare e si diverte a usare il form.... oppure è qualkuno di più tagliato ke sta cercando di fare qualkosa di più ? ? ?


ciao ciao

[ipnotic]

rigiro la domanda....... per togliere ogni dubbio.... ke controlli mi consigliate di mettere sul campo messaggio ? ? ?

[spoon25]

con questo tipo di form che inviano mail a volte è possibile inviare email a terzi, nel campo per il messaggio si mette il codice di un email e il server mail lo interpreta come un mail indipendente, dunque qualcuno potrebbe usare il tuo form per inviare spam.

Una situazione simile che si presentava sul sito di un cliente l'ho risolta utilizzando la classe Mail di PEAR per inviare un mail "ben fatto" (dunque non usando semplicemente la funzione mail() passando uno e due header) e il problema non si è più presentato.

[ipnotic]

ma dici ke puo' servire qualkosa mettere la funziona strip_tags() al campo da cui proviene il contenuto del mio messaggio ???

codice:

$messaggio = strip_tags($_POST['messaggio'])

o nn serve a niente

ciao

[spoon25]

non serve a niente, ti toglie solo il codice HTML ma non impedisce di usare il tuo form per inviare spam

L'unica soluzione valida che ho trovato è di costruire degli email come si deve (con tutti gli header del caso) per fare in modo che il server mail non interpreti l'eventuale codice destinatoglio inserito nel messaggio.
La classe a cui mi riferivo si trova a questo indirizzo http://www.phpguru.org/static/mime.mail.html anche, è molto semplice da usare e ti permetterebbe, oltre a proteggerti dall'uso improprio del tuo form, di avere in modo molto molto semplice un bell'email HTML che penso potrebbe esser più simpatico del semplice mail testo che hai per il momento ...

[ipnotic]

grazie mille....

ciao!

[flateric]

anche a me succede la stessa cosa...spero che il suggerimento sia utile......provero' a vedere....ma son discretamente niubbo....
magari qualcuno spiega in maniera semplice semplice

[flateric]

ho guardato ma ci ho capito ben poco...

ipnotic ti hai provato? i risultati sono buoni e risolto il problema?

lo spieghi semplice?

[ipnotic]

non ho ancora avuto tempo di guardare la classe ke ci è stata segnalata... appena la guardo se riesco ti spiego come fare........


ciao ciao

[gnamgnam]

qualcuno l'ha provato?