procesador de envio de formulario en php "Seguro"

Hola, hace mas de una semana que estoy tratando de saber si este codigo php esta bien escrito y no he conseguido ayuda, tal vez sea porque es un tema muy dificil .... por eso recurro a Uds., quisiera saber si estan bien validados los input data (server side) contra Inyecciones de Cabeceras, ataques, etc (ya que me han atacado en 2 oportunidades, un simple formulario de contacto ya no es suficiente, debe ser "Seguro" !) .... no soy programadora, he estado leyendo el manual de php pero no es tan sencillo, por eso les suplico !!! a ver si alguien le puede hechar un ojo .... les copio el cogido (php y luego el html del formulario). Tambien se valida el formulario del lado del cliente con javascript.
Desde ya muchas gracias por su ayuda !!!


<?php
if(isset($_POST['boton'])){
if($_POST['nombre'] == ''or !preg_match('/^[a-z0-9()\/\'":\*+|,.; \- !?&#$@]{2,75}$/i',$_POST['nombre'])){
$errors[1] = '<span class="error">Ingrese su nombre</span>';
}else if($_POST['email'] == '' or !preg_match('/^[^@\s]+@([-a-z0-9]+\.)+[a-z]{2,}$/i',$_POST['email'])){
$errors[2] = '<span class="error">Ingrese un email correcto</span>';
}else if($_POST['asunto'] == ''){
$errors[3] = '<span class="error">Ingrese un asunto</span>';
}else if($_POST['mensaje'] == ''){
$errors[4] = '<span class="error">Ingrese un mensaje</span>';
}else{
$dest = "[email protected]"; //Email de destino
$nombre = $_POST['nombre'];
$email = $_POST['email'];
$asunto = $_POST['asunto']; //Asunto
$cuerpo = $_POST['mensaje']; //Cuerpo del mensaje
//Cabeceras del correo
$headers = "From: $nombre $email\r\n"; //Quien envia?
$headers .= "X-Mailer: PHP5\n";
$headers .= 'MIME-Version: 1.0' . "\n";
$headers .= 'Content-type: text/html; charset=iso-8859-1' . "\r\n"; //
if(mail($dest,$asunto,$cuerpo,$headers)) {
$result = '<div class="result_ok">Gracias !! Email enviado correctamente</div>';
// si el envio fue exitoso reseteamos lo que el usuario escribio:
$_POST['nombre'] = '';
$_POST['email'] = '';
$_POST['asunto'] = '';
$_POST['mensaje'] = '';
}else{
$result = '<div class="result_fail">Hubo un error al enviar el mensaje</div>';
}
}
}
function safe( $nombre ) {
return( str_ireplace(array( "\r", "\n", "%0a", "%0d", "Content-Type:", "bcc:","to:","cc:" ), "", $nombre ) );
}

?>
<form class='contacto' method='POST' action=''>
<div><label>Tu Nombre:</label><input type='text' class='nombre' name='nombre' value='<?php echo $_POST['nombre']; ?>'><?php echo $errors[1] ?></div>
<div><label>Tu Email:</label><input type='text' class='email' name='email' value='<?php echo $_POST['email']; ?>'><?php echo $errors[2] ?></div>
<div><label>Asunto:</label><input type='text' class='asunto' name='asunto' value='<?php echo $_POST['asunto']; ?>'><?php echo $errors[3] ?></div>
<div><label>Mensaje:</label><textarea rows='6' class='mensaje' name='mensaje'><?php echo $_POST['mensaje']; ?></textarea><?php echo $errors[4] ?></div>
<div><input type='submit' value='Envia Mensaje' class='boton' name='boton'></div>
<?php echo $result; ?>
</form>








Reply With Quote Reply With Quote



+ Reply to Thread
« Previous Thread | Next Thread »
Bookmarks

Digg
del.icio.us
StumbleUpon
Google

Posting Permissions

You may not post new threads
You may not post replies

" Inyecciones de Cabeceras, ataques, etc "...

De que tipo es un form para enviar un mail...
No hay conexion de ningun tipo.
¿ Que tipo de ataques tuviste ?

Otra: para que sirve la funcion safe() si nunca lo llamas.

Hola que tal.

En base a los ataques que mencionas solo existe uno el cual es envio de correos basura, ya que en cuestión de otro tipo de ataques a tu sistema no existe, ya que no interaccionas con procesos vitales de tu sistema.

saludos

La funcion Safe la vi en un ejemplo y la agregue ... lei que borrara la info antes de que llegara al servir si esta no era la correcta, por eso menciono que no soy programadora. El formulario, es un Formulario de Contacto con campos muy sencillos como Nombre, email, Mensaje, etc este codigo esta en un mismo file con extension .php, ademas de los estilos CSS y javascript. A que te referis con que no hay conexion de ningun tipo ? Los ataques fueron Inyecciones de Cabeceras, usaba PHPMailer y la ultima version no la tenia actualizada, ahora el problema es que no esta funcionando bien y estoy buscando un reemplazo seguro, no necesito nada mas que un Formulario de Contacto sencillo .... gracias !

La cabecera es $headers y lo seteas vos...

$asunto y $cuerpo son lo unicos campos en el que pueden poner contenido.

a lo cual para evitar cualquier "Ataque".

NOTA: si nunca llamas a la funcion face() no va a tener efecto.

O sea que con este codigo valido los campos Asunto y Cuerpo no ? He leido que las Inyecciones de Cabeceras pueden ocurrir porque te ponen un salto de pagina con /n , /r y agregan cc: y bcc: tambien, con este codigo eso quedaria bloqueado ?

Y este codigo que me pasas lo pongo en culauqier parte del codigo no ? mientras este dentro del php ... perdon por las preguntas, pero el que sabe sabe ... y en este caso yo nooooooo .....

Como tengo PhpMailer, los mails me llegan en blanco, por ejemplo, Nombre: Email: Mensaje: . En el servidor me dicen que esta todo bien, que debe ser el scrip, ya subi la utlima version de class.php.mailer.php pero no dio resultadosss

gracias !

Bueno la verdad es que no estas usando phpmailer... estas usando las funciones basicas de php, si queres usar phpmailer podes seguir este post.

Y si no ak encontre un tuto bastante explicado.
Suerte!

Aca, no tengo nada de phpmailer, solo este nuevo codigo que copie al principio, no necesito ni adjuntar archivos, ni enviar fotos, ni enviar a varias personas en el mismo mail, por eso es que quisiera dejar el phpMailer y utilizar este nuevo codigo mas sencillo. Vos pensas que si le agrego el codigo que me pasaste eso valida los campos contra posibles ataques ?

El tutorial que me pasaste ya lo lei, pero me dijeron que no estaba validado el nombre y que por eso no era seguro ..... es asi ?

Hola ! Los ataques fueron inyecciones de cabeceras (Header Injections) por el script .php - He leido que siempre se deben validar los input data del aldo del servidor para evitar estos casos. Como no soy programadora queria que alguien me ayude o mas bien corriga el codigo para que quede seguro y ya no tenga estos ataques. Si alguien me ayuda deberia ser como para tonto asi lo entiendo bien y ya quedaria ese codigo para que tambien otros lo usen, el codigo original lo saque de un tutorial, un programador me dijo que no estaba validado el nombre y que por eso no era seguro, y aca estoy ... en el lugar donde los expertos estan, ya que yo no lo soy. Agradeceria infinitamente si alguien me ayuda gracias !

Hola, agregue el codigo que me diste para validar cuerpo y asunto, pero los mails no llegan, el formulario sale como que se envio bien, pero a la bandeja de entrada no llega, si le quito el codigo si funciona pero no me quedan validados ... tienes alguna idea de porque ?

Jakie.... si ni intentas entender el codigo, no te gastes hay muchas paginas de freelance (googlealo), te di varias herramientas para que leeas y deduscas como funciona... no es solo copiar y pegar. Si no entendes el codigo vamos a estar 5 dias mas con este tema.

Si no queres aprender PHP te recomiendo freelance, o hay una seccion en el foro para trabajos.

Si queres aprender, deverias intentar comprender el codigo que vos trajiste a esta web y leer los tutoriales que te recomende. Los tutoriales te explican PASO a PASO.

El codigo que te di, no remplaza nada y no borra nada, mas que caracteres especiales. No influye en nada la funcion mail().

Gracias por responderme SirDuque, estoy ... comprendiendo diferentes codigos como me recomendaste, el Tutorial ya lo lei y ya tengo el form funcionando, sin embargo he leido que para que no te Inyecten en las cabeceras o hagan spam masivo con tu form, no debe der posible que hagan un salto de pagina o línea (deben ser eliminados o causar error) en las cabeceras, por ejemplo %0A, agreguen cc, bcc, /n, /r, content type, incluso pueden enviar mensaje y contenido html. Tambien pueden modificarte las variables del la funcion mail, por lo cual deben estar validadas.
El formulario del Tutorial valida con js (cliente) y php (servidor) la pregunta y duda es: si yo voy al formulario web (que supongamos ya esta online) y soy capaz de escribir en el "Tu Nombre" una direccion de mail o ingresar salto de paginas, quiere decir que no estaria seguro y podrian atacarme ? porque veo que solo valida en el caso del nombre que haya escrito algo (que no se deje vacio), deberia tener entonces una funcion que permitiera solo letras como x ej: a-zA-Z ? y lo mismo para el campo "Pais" ($cuerpo), "Asunto" ($asunto) no ? que era lo que me estabas sugiriendo (alfanumericas) ...creo....
Tambien te agradezco la info de los freelance, no sabia que aqui en el foro los puedo encontrar.
Te agradezco si me puedes sacar la duda, porque creo que esas validaciones son para que el usuario no envie un formulario vacio, que esta bien, pero creo que con eso solo no seria seguro contra injections y spammers.
Muchas gracias de nuevo y que bueno que hay gente como vos que saben y nos dan una mano !

Como mensionas solo admite letras y numeros para evitar (%0A, agreguen cc, bcc, /n, /r, content type)

Tabien podes creer tu codigo si chusmeas preg_replace() vas ver que podes elimnar.... por ejemplo si te molesta content type podes poner esto:

Con respecto a los spammers/robots etc.. El usuario caricatos tiene varios aportes sobre el tema. En Javascript
De parte del servidor (PHP) solo podes analizar el contenido y fabricar el mail segun tus directivas.