Formular

Hallo zusammen,
ich habe gerade angefangen, ein formular für meine homepage zu entwerfen. die weiterleitung auf meine e-mail adresse funktioniert mit einem .php script auch ganz gut.

nun meine frage, wie hoch ist das risiko, das jemand die daten aus dem formular auslesen kann?

und ich lese immer wieder das ich bestimmte zeichen (<,>,&,% etc.)verbieten soll, damit kein „angriff“ kommt. aber ich bekomme es doch per e-mail, also kann mir doch nichts passieren oder?

Danke für die Antworten

DasBlatt

Kann theoretisch doch passieren, da es ja mit php erst bearbeitet wird und dann mit php abgeschickt
[php]$Geprüfteangaben=strip_tags($_POST[‚wasauchimmerduempfängst‘])[/php]

das obige script entfernt alle html/php tags, funzt natürlich auch mit GET/ allem anderen

MfG

das html sieht folgendermaßen aus:

Anmeldeformular

Vorname:

Nachname:

Appartment:

M 1 M 2 Do Beach

Besuchszeit (bitte aus der Buchungsbestätigung übernehmen)

bis

Kreditkartenart

  Karte 1 Karte 2 Karte 3 Karte 4 Karte 5

Kreditkartennummer:

Prüfnummer

Ich akzeptiere die AGB´s

und mein php script ist dieses

<?PHP $text = "Name: $_POST[name]"."\n"."Nachname: $_POST[nachname]"."\n"."Kreditkartenart: $_POST[kreditkartenart]"."\n"."Kreditkartennummer: $_POST[name1]"."\n"."$_POST[name2]"."\n"."$_POST[name3]"."\n"."$_POST[name4]"."\n"."$_POST[ja]"."\n"."$_POST[nein]"; mail("email@meine.de","Email per Formular",$text); ?>

was muss ich wo veränder, das es sicher ist?
P.S. Es werden noch nicht alle Felder überragen in der e-mail.

Die html und die php datei liegen beide bei mir auf dem webserve im root verzeichniss.

DasBlatt

Bist du des Lesens mächtig?
Alles was du empfängst, in deinem Falle Benutzereingaben, solltest du mit der Methode
[php]strip_tags()[/php] prüfen, wenn du es nicht verstehst, dann sag bitte genauer was du daran nicht verstehst.

MfG

Also ich verstehe das ganze einmal so.
[PHP]
$text =
strip_tags(„Name: $_POST[name]“)
strip_tags(.„\n“.„Nachname: $_POST[nachname]“)
strip_tags(.„\n“.„Kreditkartenart: $_POST[kreditkartenart]“)
strip_tags(.„\n“.„Kreditkartennummer: $_POST[name1]“)
strip_tags(.„\n“.„$_POST[name2]“)
strip_tags(.„\n“.„$_POST[name3]“)
strip_tags(.„\n“.„$_POST[name4]“)
strip_tags(.„\n“.„$_POST[ja]“)
strip_tags(.„\n“.„$_POST[nein]“);
mail(„email@meine.de“,„Email per Formular“,$text);
[/PHP]

Also sollte es so funktionieen. Oder muss ich die Klammern anderst setzen?

warum prüfst du deine eigenenen Angaben auf Striptag? Das ist unnötig und nicht valide.

So dürfte es gut sein:

[PHP]
$text =
„Name:“ . strip_tags($_POST[name])
. „\n“.„Nachname“ . strip_tags($_POST[nachname])
etc… ;
[/PHP]

So dürfte es gut sein

also es hat soweit alles wunderbar funktioniert. Danke einmal dafür.

Wie sicher ist denn die Übertragung dieser Daten?
Kann jeder der möchte ohne Probleme ein Formular auslesen?

Wenn ja, was kann man dagegen denn unternehmen?

99% sicher. So sicher, dass du sie nicht sicherer machen kannst, zumindest nicht als Normalsterblicher.

ich lese immer wieder vonder ssl verschlüsselung. was hat es denn damit aufsich? oder bezieht sich das nur auf die daten die in einer datenbank auf dem server gespeichert werden?