scotlandyard Posté 5 Mars 2006 Posté 5 Mars 2006 Bonjour à tous, J'ai choisi voici quelques temps de tester l'utilisation d'un formulaire de contact, afin de permettre plus facilement à mon lectorat de prendre contact avec moi. Malheureusement, et j'imagine que c'est facilement le cas pour tous ceux qui sont un temps soit peu connu sur le web, mon formulaire a été hacké. J'ai supprimé le script du site, mais je souhaiterai en avoir un bon reconnu et ou je ne risque rien. Est-ce que vous pouvez me conseiller quelque chose ? Jusqu'à présent, j'utilisai celui-ci: HDAformail+upload 1.0 de Fabrice Lezoray (c'est un formulaire de contact avec upload de fichier) Je vous remercie par avance, scotlandyard
AvenueDuWeb Posté 5 Mars 2006 Posté 5 Mars 2006 Salut, Tu as sans doute été victime du "hack" qui court en ce moment sur le net qui consiste à détourner les formulaires en rajoutant bcc dans chaque input du formulaire pour spammer d'autres adresses mails. C'est ça ? Si oui pour contourner le problème un petit htmlentities() sur chaque variable et normalement ça doit résoudre le problème, ou sinon réécrire soit même le header du mail. @+
scotlandyard Posté 5 Mars 2006 Auteur Posté 5 Mars 2006 Hello ! Et merci de ta réponse ! Cela y ressemble, effectivement, mais je suis assez refroidi à l'idée de réutiliser ce script ! Je n'ai pas moyen de savoir si des mails ont été envoyé ailleurs... Mais oui, les mails que j'ai eu ont tous un nom de mail différent, reprenant mon nom de domaine. Je pense surtout que je vais réintroduire le bon vieux gif avec l'adresse écrite dedans. Même les script de cryptage mail sont inefficace. Il faut que je commence très sérieusement à protéger mon serveur web... scotlandyard
baboon Posté 6 Mars 2006 Posté 6 Mars 2006 Bonjour, Pour sécurisé il faut éviter l'injection d'headers (sur la fonction mail de php) dans les champs saisies en filtrant ce qui est saisie : Si vous demander l'adresse email de la personne qui vous contact exemple avec le champ from Saisie du from : ... Ce champs doit etre filtrée avant l'appel à la fonction mail et ne doit pas contenir de mots clés relatifs au entete de message ni de retour chariot : Bcc,Cc, %0A%0D, /n/. Les champs "Subject" et "To" sont sensible aussi à l'injection....de scripts. Tout ceci est détaillé sur ici En ce moment c'est AOL qui est visé... Good luck PS : En général pour un formulaire de contact on eviter d'utiliser la fonction mail du php; Souvent le fournisseur d'accés propose se service avec un cgi.
scotlandyard Posté 7 Mars 2006 Auteur Posté 7 Mars 2006 PS : En général pour un formulaire de contact on eviter d'utiliser la fonction mail du php; Souvent le fournisseur d'accés propose se service avec un cgi. Hello ! J'ai pas encore trouver le smiley qui se tape le front ! Mais bien sur, j'ai complétement oublié le CGI pour le mail... Effectivement, ça va aller tout seul maintenant. Merci pour ton message: Cela m'a aidé à comprendre le fonctionnement du formulaire et en même temps j'ai trouvé la solution par un moyen detourné ! Merci ! scotlandyard
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant