Kontaktformular Sicherheit??? /PHP

Christian2010 · 31. Dezember 2010

Guten Tag!
Ich habe mich hier grade neu angemeldet, ich beschäftige mich seit einem Jahr mit HTML und CSS. Nun habe ich auch mit PHP angefangen! Mein Ziel ist es ein gutes und vor allem Sicheres Kontaktformular ein zu binden! Da ich ein absoluter Anfänger in Sachen PHP bin hoffe ich hier auf eure Hilfe

Hier ist mein bisheriger Code, bitte erweitert ihn oder gebt mir Tipps was alles noch fehlt zum guten und vor allem Sicheren Kontaktformular:

PHP

<?php
$benutzername  = $_POST['benutzername'];
$mail          = $_POST['mail'];
$betreff       = $_POST['betreff'];
$homepage      = $_POST['homepage'];
$nachricht     = $_POST['nachricht'];
$abgesendet    = $_POST['abgesendet'];




if ($benutzername == "" OR
    $mail         == "" OR
    $betreff      == "" OR
    $nachricht    == "" )




{
    echo '<div id="kontaktliste">';
    echo '<form action="kontakt_mein.php" method="post">';




    echo '<p>Name<br /></p>';
    echo '<input type="text" name="benutzername" value="';
    echo $benutzername;
    echo '" size="30" maxlength="30" />';




    echo '<p>E-Mail-Adresse<br /></p>';
    echo '<input type="text" name="mail" value="';
    echo $mail;
    echo '" size="53" maxlength="50" />';




    echo '<p>Betreff<br /></p>';
    echo '<input type="text" name="betreff" value="';
    echo $betreff;
    echo '" size="53" maxlength="90" />';




    echo '<p>Homepage<br /></p>';
    echo '<input type="text" name="homepage" value="';
    echo $homepage;
    echo '" size="30" maxlength="90" />';




    echo '<p>Ihre Nachricht<br /></p>';
    echo '<textarea name="nachricht" rows="7" cols="50">';
    echo $nachricht;
    echo '</textarea>';




        if ($abgesendet == "ja")
    {
        echo '<p>Bitte alle Pflichtfelder ausf&uuml;llen!</p>';
    }




    echo '<input type="hidden" name="abgesendet" value="ja" />';
    echo '<br /><input  type="submit" value="absenden"/>';
    echo '</form>';
    echo '</div>';
}
else
{
    echo '<h1>Vielen Dank............</h1>';
    echo '<p>..........Ihre Nachricht wurde erfolgreich gesendet!</p>';
    echo '<p>Ich werde versuchen sie schnellst m&ouml;glichst zu beantworten!</p>';




    $empfanger      = "das-eule1@web.de";
    $inhaltbetreff  = "Betreff: " .$betreff;
    $inhaltmail     = "Nachricht: " .$nachricht;
    $inhaltmail    .= "E-Mail von: " .$mail;




    mail ($empfanger, $inhaltbetreff, $inhaltmail);
}

Alles anzeigen

Vielen Dank für eure Hilfe, gruß Christian!

lauras · 31. Dezember 2010

Du solltest auf jeden Fall mit PHP überprüfen, ob deine maxlength Werte auch nicht überschritten sind (das kann man umgehen), und ob z.B. deine E-Mail-Adresse wirklich eine ist (Stichwort Regex). Außerdem alles das, was Bots davon abhält dein Formular vollzuspammen

Gruß
Laura

Basi · 31. Dezember 2010

Länge überprüfen mit strlen(), dann htmlentities() anwenden um HTML Zeichen zu maskieren.

Christian2010 · 2. Januar 2011

Vielen Dank für eure Hilfe!
Ich habe meinen Code um zu überprüfen ob die eingegebene Email Adresse valide ist erweitert, jetzt muss ich das aber noch in eine Bedingung mit aufnehmen dies bereite mir aber leider große Probleme, vielleicht kann einer diesen Code mal raus kopieren und speichern, damit mein Problem erkannt wird (Problem: alle Felder ausgefüllt, Emailadresse aber falsch! Sendet aber trotzdem!)

PHP

<?php
    $benutzername  = $_POST['benutzername'];
    $mail          = $_POST['mail'];
    $betreff       = $_POST['betreff'];
    $homepage      = $_POST['homepage'];
    $nachricht     = $_POST['nachricht'];
    $abgesendet    = $_POST['abgesendet'];




    if ($benutzername == "" OR
        $mail         == "" OR
        $betreff      == "" OR
        $nachricht    == "" )




    {
        echo '<div id="kontaktliste">';
        echo '<form action="kontakt_mein.php" method="post">';




        echo '<p>Name<br /></p>';
        echo '<input type="text" name="benutzername" value="';
        echo $benutzername;
        echo '" size="30" maxlength="30" />';




        echo '<p>E-Mail-Adresse<br /></p>';
        echo '<input type="text" name="mail" value="';
        echo $mail;
        echo '" size="53" maxlength="50" />';




        echo '<p>Betreff<br /></p>';
        echo '<input type="text" name="betreff" value="';
        echo $betreff;
        echo '" size="53" maxlength="90" />';




        echo '<p>Homepage<br /></p>';
        echo '<input type="text" name="homepage" value="';
        echo $homepage;
        echo '" size="30" maxlength="90" />';




        echo '<p>Ihre Nachricht<br /></p>';
        echo '<textarea name="nachricht" rows="7" cols="50">';
        echo $nachricht;
        echo '</textarea>';




            if ($abgesendet == "ja")
        {
            echo '<p>Bitte alle Pflichtfelder ausf&uuml;llen!</p>';
        }




        function is_mail ( $testmail ) {        //funktion zur überprüfung der Emailadresse ob sie valide ist!
        $suchmuster =
        "/^[-\w.]+@([A-z0-9][-A-z0-9]+\.)+[A-z]{2,4}$/";
        $erg = preg_match($suchmuster, $testmail);
        return ($erg > 0);
        }




        if ($mail <> "")
        {
            if ( is_mail ($mail) == false )
            {
                echo "<p>E-Mail-Adresse ist FALSCH - bitte korrigieren!</p>";
                $mail = "";
            }
        }




        echo '<input type="hidden" name="abgesendet" value="ja" />';
        echo '<br /><input  type="submit" value="absenden"/>';
        echo '</form>';
        echo '</div>';
    }
    else
    {
        echo '<h1>Vielen Dank............</h1>';
        echo '<p>..........Ihre Nachricht wurde erfolgreich gesendet!</p>';
        echo '<p>Ich werde versuchen sie schnellst m&ouml;glichst zu beantworten!</p>';




        $empfanger      = "meine-email-adresse@web.de";
        $inhaltbetreff  = "Betreff: " .$betreff;
        $inhaltmail     = "Nachricht: " .$nachricht;
        $inhaltmail    .= "E-Mail von: " .$mail;




        mail ($empfanger, $inhaltbetreff, $inhaltmail);
    }
?>

Alles anzeigen

Weiteres: wie kann ich in meinem Code denn überprüfen ob maxlength Werte auch nicht überschritten sind? Was sollte ich denn genau einsetzen was Bots davon abhält mein Formular vollzuspammen? zB. wo finde ich gute Beispiele oder Anleitungen die ich in meinem Code übernehmen bzw. einbauen kann?
..........vielen vielen Dank!!!!!!!!

Sören · 4. Januar 2011

Du musst die Überprüfung der E-Mail Adresse auch in die Bedingung, ob abgesendet wird, reinschreiben. Sonst prüft er die E-Mail Adresse ja nur, wenn irgendetwas anderes falsch ist.

Du solltest die Rückgabewerte der Funktion noch ändern, beispielsweise so:

PHP

<span class="syntaxdefault"><br /></span><span class="syntaxkeyword">function </span><span class="syntaxdefault">is_mail </span><span class="syntaxkeyword">( </span><span class="syntaxdefault">$testmail </span><span class="syntaxkeyword">) {        </span><span class="syntaxcomment">//funktion zur überprüfung der Emailadresse ob sie valide ist!<br />        </span><span class="syntaxdefault">$suchmuster </span><span class="syntaxkeyword">= </span><span class="syntaxstring">"/^[-\w.]+@([A-z0-9][-A-z0-9]+\.)+[A-z]{2,4}$/"</span><span class="syntaxkeyword">;<br />        if (</span><span class="syntaxdefault">preg_match</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$suchmuster</span><span class="syntaxkeyword">, </span><span class="syntaxdefault">$testmail</span><span class="syntaxkeyword">) {<br />         return </span><span class="syntaxdefault">true</span><span class="syntaxkeyword">;<br />        }<br />        else { <br />         return </span><span class="syntaxdefault">false</span><span class="syntaxkeyword">;<br />        }<br />}<br /> </span><span class="syntaxdefault"></span>

Die Bedingung könnte dann so aussehen:

PHP

<span class="syntaxdefault"><br />    </span><span class="syntaxkeyword">if (</span><span class="syntaxdefault">$benutzername </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />        </span><span class="syntaxdefault">$mail         </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />        </span><span class="syntaxdefault">$betreff      </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />        </span><span class="syntaxdefault">$nachricht    </span><span class="syntaxkeyword">== </span><span class="syntaxstring">""  </span><span class="syntaxkeyword">OR<br />        </span><span class="syntaxdefault">false </span><span class="syntaxkeyword">=== </span><span class="syntaxdefault">test_mail</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$mail</span><span class="syntaxkeyword">) )<br /> </span><span class="syntaxdefault"></span>

Basi · 6. Januar 2011

Kleiner Tipp am Rande:

PHP

<span class="syntaxdefault"><br /> </span><span class="syntaxkeyword">if <br /> (<br />  </span><span class="syntaxdefault">$benutzername </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />  </span><span class="syntaxdefault">$mail         </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />  </span><span class="syntaxdefault">$betreff      </span><span class="syntaxkeyword">== </span><span class="syntaxstring">"" </span><span class="syntaxkeyword">OR<br />  </span><span class="syntaxdefault">$nachricht    </span><span class="syntaxkeyword">== </span><span class="syntaxstring">""  </span><span class="syntaxkeyword">OR<br />  !</span><span class="syntaxdefault">test_mail</span><span class="syntaxkeyword">(</span><span class="syntaxdefault">$mail</span><span class="syntaxkeyword">)<br /> )<br /> </span><span class="syntaxdefault"></span>

So reicht das in diesem Fall völlig.

Kontaktformular Sicherheit??? /PHP

Jetzt mitmachen!

Teilen