Foros del Web - Ver Mensaje Individual - Seguridad Anti-spam

Lord Sith · #9 (**permalink**) 19/12/2005, 12:25

Saludos a todos;

Mi proveedor de hosting también me ha enviado el mismo mensaje alertándome sobre el mal uso de los formularios a través de la función mail(), también me adjuntó una sugerencia de código para colocarlo.

Quisiera saber si alguien puede ayudarme para editar mi archivo correctamente y evitar el mal uso de mis formularios.

Para enviar los correos utilizo los tres archivos.

1.- buzon.htm (El usuario ingresa sus datos desde una página HTML, para lo cual utilizo esta llamada:

<form enctype='multipart/form-data' action='process.php' method='post'>)
2.- process.php
3.- global.inc.php

A continuación pongo el código de process.php:

Código PHP:

  <?php

include("global.inc.php");

$errors=0;

$error="Se encontraron los siguientes errores mientras se intentaba enviar su formulario.<ul>";

pt_register('POST','Nombre');

pt_register('POST','PrimerApellido');

pt_register('POST','SegundoApellido');

pt_register('POST','Domicilio');

pt_register('POST','Telefono');

pt_register('POST','Email');

pt_register('POST','ServidorPublico');

pt_register('POST','Hechosqueconstituyenladenuncia');

$Hechosqueconstituyenladenuncia=preg_replace("/(\015\012)|(\015)|(\012)/","&nbsp;<br />", $Hechosqueconstituyenladenuncia);if($Nombre=="" || $PrimerApellido=="" || $Domicilio=="" || $Telefono=="" || $Email=="" || $ServidorPublico=="" || $Hechosqueconstituyenladenuncia=="" ){

$errors=1;

$error.="<li>No ingresó uno o más de los campos requeridos. Por favor regrese e intente de nuevo.";

}

if(!eregi("^[a-z0-9]+([_\\.-][a-z0-9]+)*" ."@"."([a-z0-9]+([\.-][a-z0-9]+)*)+"."\\.[a-z]{2,}"."$",$Email)){

$error.="<li>Dirección de correo inválida";

$errors=1;

}

if($errors==1) echo $error;

else{

$where_form_is="http".($HTTP_SERVER_VARS["HTTPS"]=="on"?"s":"")."://".$SERVER_NAME.strrev(strstr(strrev($PHP_SELF),"/"));

$message="Nombre: ".$Nombre."

Primer Apellido: ".$PrimerApellido."

Segundo Apellido: ".$SegundoApellido."

Domicilio: ".$Domicilio."

Telefono: ".$Telefono."

Email: ".$Email."

Servidor Publico: ".$ServidorPublico."

Hechos que constituyen la denuncia: ".$Hechosqueconstituyenladenuncia."

";

$message = stripslashes($message);

mail("[email protected]","Formulario de quejas",$message,"From: phpFormGenerator");

 
header("Refresh: 0;url=http://www.midominio.com/formularios/use/denuncia/gracias.htm");

?><?php 

}

?>

Aquí está el código de global.inc.php

Código PHP:

  <?php

 
function pt_register()

{

  $num_args = func_num_args();

   $vars = array();

 
   if ($num_args >= 2) {

       $method = strtoupper(func_get_arg(0));

 
       if (($method != 'SESSION') && ($method != 'GET') && ($method != 'POST') && ($method != 'SERVER') && ($method != 'COOKIE') && ($method != 'ENV')) {

           die('The first argument of pt_register must be one of the following: GET, POST, SESSION, SERVER, COOKIE, or ENV');

     }

 
       $varname = "HTTP_{$method}_VARS";

      global ${$varname};

 
       for ($i = 1; $i < $num_args; $i++) {

           $parameter = func_get_arg($i);

 
           if (isset(${$varname}[$parameter])) {

               global $$parameter;

               $$parameter = ${$varname}[$parameter];

          }

 
       }

 
   } else {

       die('You must specify at least two arguments');

   }

 
}

 
?>

El código que me sugiere mi proveedor, para evitar el mal uso del formulario es el siguiente:

Código PHP:

  <?php 

  function ValidarDatos($campo){

    //Array con las posibles cabeceras a utilizar por un spammer

    $badHeads = array("Content-Type:",

                                 "MIME-Version:",

                                 "Content-Transfer-Encoding:",

                                 "Return-path:",

                                 "Subject:",

                                 "From:",

                                 "Envelope-to:",

                                 "To:",

                                 "bcc:",

                                 "cc:");

 
    //Comprobamos que entre los datos no se encuentre alguna de

    //las cadenas del array. Si se encuentra alguna cadena se

    //dirige a una página de Forbidden

    foreach($badHeads as $valor){ 

      if(strpos(strtolower($campo), strtolower($valor)) !== false){ 

        header("HTTP/1.0 403 Forbidden"); 

        exit; 

      }

    } 

  }

 
  //Ejemplo de llamadas a la funcion

  ValidarDatos($_POST['email']);

  ValidarDatos($_POST['asunto']);

  ValidarDatos($_POST['mensaje']);

?>

Ahora bien, no sé en qué parte debo colocar el código de comprobación y si tengo que corregirle algo; yo estoy suponiendo que debo ponerlo antes de:
mail("[email protected]","Formulario de quejas",$message,"From: phpFormGenerator")
Pero en realidad no sé.
¿Alguien puede indicarme en qué parte del código debo poner la cuestión de validarlos datos y si a ese código debo corregirle algo?

Mil gracias!