quelle der POST daten in php script herausfinden

ArchEnemy · 25.02.2009, 17:54

Hallo erstmal,

ich habe ein kleines mailscript geschrieben, das per POST daten von einem formular bekommt, die ich dann per email versende.
Soweit funktioniert das ganze auch, so viel bis jetzt nur zur erklärung.

Mein eigentliches problem ist jetzt:

jeder kann dieses mailscript nutzen. es ist also ein gefundenes fressen für spambots.

kann ich irgendwie herausfinden von welcher quelle diese POST daten stammen, um dann das script mit fehler zu beenden, falls die quelle nicht auf dem selben server liegt?

Beispiel:

www.mydomain.com/form.html -> POST -> www.mydomain.com/mail.php

OK ist erlaubt

www.spamdomain.com/form.html -> POST -> www.mydomain.com/mail.php

ERROR Zugriff gesperrt

hat jemand eine Idee?

nikosch · 25.02.2009, 17:56

Du klannst eine Session verwenden. Aber - ist das Form nicht auch frei zugänglich? Zumindest für menschliche Spammer?

ArchEnemy · 25.02.2009, 19:05

ja schon... aber das sollte das geringere problem sein... ich will einfach verhindern, dass jemand meine mail.php als massenmailer verwendet.
über das formular ist absender und empfänger festgelegt.
daher würde die spam immer im selben postfach landen.

du meinst ich soll einen wert in der session speichern und den im php abfragen ob er gesetzt wurde?

nikosch · 25.02.2009, 19:08

Yepp. Und - was macht Spam auf ein bestimmtes (vermutlich Dein) Postfach besser?

Btw. gucke, ob email header injection (Google!) möglich ist.

ArchEnemy · 25.02.2009, 19:13

oha... daran hätte ich tatsächlich nicht gedacht... aber danke für den tipp..

MichaMedia · 25.02.2009, 21:32

Zitat:

Zitat von ArchEnemy

Beispiel:

www.mydomain.com/form.html -> POST -> www.mydomain.com/mail.php

OK ist erlaubt

www.spamdomain.com/form.html -> POST -> www.mydomain.com/mail.php

ERROR Zugriff gesperrt

Geht ehe nicht, da es wie folgt passiert:

Client (mit IP) -> POST -> Dein Script auf dem Server

Es reicht also schon sich die IP zu merken (was man ehe sollte) und diese für eine gewisse Zeit (z.B. 15min.) sperren.
Sessions bringen da nicht viel um dich zu zu spamen, automatisierte Programme speichern keine Sessions ab und erhalten ehe eine wie bei einem Neubesuch.

nikosch · 25.02.2009, 23:52

Ich kann wegen Deiner Grammatik gerade keine Information aus Deinem letzten Posting herauslesen, Micha. Meinst Du, Sessions seien ein oder kein wirksames Mittel gegen Spam.

ArchEnemy · 26.02.2009, 00:36

na grad weil die spamclients keine sessions speichern kann ich sie damit jawohl aussperren. wenn ich eine eine session variable abfrage die bei ihnen nicht gesetzt ist, und dann das script mit "exit;" abbreche... oder seh ich das falsch?

MichaMedia · 26.02.2009, 01:08

@nikosch, sorry für dieses Geschreibsel
Ich meine dass Sessions keine wirklich hilfreichen Methoden sind.

IchAergereDich.exe:
Besucht die Seite und sendet das Formular mit Session Verarbeitung.
Löscht die Session und besucht erneut, frische Session neues versenden des Formulars.

Wenn man die IP berücksichtigt, kann man IchAergereDich.exe austricksen, aber:
IchGeheUeberProxieDuSack.exe
Interessiert es dann auch nicht

Daher verwenden viele ein Bild, in dem schwer Lesbare Zeichen sind, welche bestätigt werden müssen, dies dürfte derzeit der sicherste Schutz gegen Automatisierung sein.

Lösung 1 sollte zum Anfang aber genügen, in dem man es über die IP auswertet, reicht die nicht, kann man umbauen, die Session ist da unzureichend, aber die IP immer eindeutig (bis zur Wiedereinwahl)

nikosch · 26.02.2009, 01:14

.exe? Mann aus Bochum spricht in Rätseln!

Es ging doch nur um die Verifizierung des Forms. Und dafür geht ne Session doch gut. Form-Script: Challenge-ID (Zufallsstring) erzeugen, in Session und in einem hiddenfield speichern.
Action-Script: Beide Werte vergleichen (bzw. überhaupt Vorhandensein von Session und Challenge-ID). Bei Übereinstimmung Mail absenden.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
php script mit html script verbinden	Bimbo-01	PHP Tipps 2009	2	21.02.2009 14:11
Scriptsuche Suche Script zum einpflegen von daten...	derTorsten1909	Scriptbörse	17	10.01.2009 18:22
Simples Upload Script	Turbo Freddy	PHP Tipps 2008	35	18.12.2008 20:44
POST Daten via JavaScript versenden	Stinger	HTML, Usability und Barrierefreiheit	9	20.03.2005 20:18
[Erledigt] Bilderupload über ftp_put über post daten von formular		PHP Tipps 2005	3	10.03.2005 23:46
daten aus sql mit post verschicken..		PHP Tipps 2005	7	16.02.2005 18:44
mit PHP per POST Daten an eine Fremde seite schicken?	Kenshin	PHP Tipps 2005	7	04.02.2005 16:20
Mit post an weitere Seite oder 2 Seiten übergeben?		PHP Tipps 2005	1	02.02.2005 12:16
Ganze Objekte an Script weitergeben	dreamingof8a	PHP Tipps 2004-2	6	23.11.2004 12:17
[Erledigt] Daten gleichzeitig mit Get und post übergeben		PHP Tipps 2004-2	2	13.11.2004 21:30
Problem bei Script Formular Daten und Baum		PHP Tipps 2004	1	27.09.2004 23:19
array_push nur in begrenzter Anzahl ausführen ?		PHP Tipps 2004	2	07.09.2004 09:05
Daten von HTML-Form mit POST verarbeiten		PHP Tipps 2004	1	13.08.2004 21:35
Daten mit POST übergeben?		PHP Tipps 2004	8	01.07.2004 10:05
Formular daten an ein script übergeben??	b++	PHP Tipps 2004	3	20.06.2004 19:19

25.02.2009, 17:54
ArchEnemy Neuer Benutzer Registriert seit: 25.02.2009 Beiträge: 5	quelle der POST daten in php script herausfinden Hallo erstmal, ich habe ein kleines mailscript geschrieben, das per POST daten von einem formular bekommt, die ich dann per email versende. Soweit funktioniert das ganze auch, so viel bis jetzt nur zur erklärung. Mein eigentliches problem ist jetzt: jeder kann dieses mailscript nutzen. es ist also ein gefundenes fressen für spambots. kann ich irgendwie herausfinden von welcher quelle diese POST daten stammen, um dann das script mit fehler zu beenden, falls die quelle nicht auf dem selben server liegt? Beispiel: www.mydomain.com/form.html -> POST -> www.mydomain.com/mail.php OK ist erlaubt www.spamdomain.com/form.html -> POST -> www.mydomain.com/mail.php ERROR Zugriff gesperrt hat jemand eine Idee?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

25.02.2009, 17:56
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	Du klannst eine Session verwenden. Aber - ist das Form nicht auch frei zugänglich? Zumindest für menschliche Spammer? __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

25.02.2009, 19:05
ArchEnemy Neuer Benutzer Registriert seit: 25.02.2009 Beiträge: 5	ja schon... aber das sollte das geringere problem sein... ich will einfach verhindern, dass jemand meine mail.php als massenmailer verwendet. über das formular ist absender und empfänger festgelegt. daher würde die spam immer im selben postfach landen. du meinst ich soll einen wert in der session speichern und den im php abfragen ob er gesetzt wurde?

25.02.2009, 19:08
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	Yepp. Und - was macht Spam auf ein bestimmtes (vermutlich Dein) Postfach besser? Btw. gucke, ob email header injection (Google!) möglich ist. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

25.02.2009, 19:13
ArchEnemy Neuer Benutzer Registriert seit: 25.02.2009 Beiträge: 5	oha... daran hätte ich tatsächlich nicht gedacht... aber danke für den tipp..

25.02.2009, 23:52
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	Ich kann wegen Deiner Grammatik gerade keine Information aus Deinem letzten Posting herauslesen, Micha. Meinst Du, Sessions seien ein oder kein wirksames Mittel gegen Spam. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

26.02.2009, 00:36
ArchEnemy Neuer Benutzer Registriert seit: 25.02.2009 Beiträge: 5	na grad weil die spamclients keine sessions speichern kann ich sie damit jawohl aussperren. wenn ich eine eine session variable abfrage die bei ihnen nicht gesetzt ist, und dann das script mit "exit;" abbreche... oder seh ich das falsch?

26.02.2009, 01:08
MichaMedia Erfahrener Benutzer Registriert seit: 20.02.2009 Beiträge: 202	@nikosch, sorry für dieses Geschreibsel Ich meine dass Sessions keine wirklich hilfreichen Methoden sind. IchAergereDich.exe: Besucht die Seite und sendet das Formular mit Session Verarbeitung. Löscht die Session und besucht erneut, frische Session neues versenden des Formulars. Wenn man die IP berücksichtigt, kann man IchAergereDich.exe austricksen, aber: IchGeheUeberProxieDuSack.exe Interessiert es dann auch nicht Daher verwenden viele ein Bild, in dem schwer Lesbare Zeichen sind, welche bestätigt werden müssen, dies dürfte derzeit der sicherste Schutz gegen Automatisierung sein. Lösung 1 sollte zum Anfang aber genügen, in dem man es über die IP auswertet, reicht die nicht, kann man umbauen, die Session ist da unzureichend, aber die IP immer eindeutig (bis zur Wiedereinwahl)

26.02.2009, 01:14
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.989 PHP-Kenntnisse: Fortgeschritten	.exe? Mann aus Bochum spricht in Rätseln! Es ging doch nur um die Verifizierung des Forms. Und dafür geht ne Session doch gut. Form-Script: Challenge-ID (Zufallsstring) erzeugen, in Session und in einem hiddenfield speichern. Action-Script: Beide Werte vergleichen (bzw. überhaupt Vorhandensein von Session und Challenge-ID). Bei Übereinstimmung Mail absenden. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --