Меню
Что нового?

возврат письма после инъекции

usascha

Новичок
возврат письма после инъекции

Вот такое сообщение мне присылает сервер, когда не может отправить письмо через форму на нашем сайте:

These addresses have been ignored. There were no other addresses in your
message, and so no attempt at delivery was possible.

------ This is a copy of your message, including all the headers. ------

To: he Content-Transfer-Encoding: 7bit Content-Type: text/html Subject: umtah, eterist bcc: [email protected] which is that stir anything but crisscross warren of the world s about that, e ll do da74fc069967e238da74e529ee5a3634 .
...


Правильно ли я понимаю, что некто (как его назвал Demiurg в своей заметке), пытается подменить значение первого поля "string to" функции mail() ?

И мыслю далее - а поскольку у меня в этом поле прямо прописан адрес на который отправлять форму с заявкой, то сервер/скрипт этого не понимает и выдает такое письмо уже мне.

Если мыслю правильно, то как заставить скрипт не отзываться на эту инъекцию? А то сообщения сервера о неправильно написанных адресах в письме уже надоели.
 

Tor

Новичок
может хватит уже фанта[з|н]ировать и начать писать лог, как тебе и советовали
или думаешь, от кол-ва новых топиков проблема решится сама собой
 

usascha

Новичок
Tor, вы о чем?! Когда мне советовали писать лог?!
С таким вопросом я вообще впервые обратился. И на форуме был последний раз черт знает когда!
 

Tor

Новичок
С таким вопросом я вообще впервые обратился
Нажмите для раскрытия...
вот отсюда и проблемы
ТЫ с этим вопросом впервые обратился
но ты ведь не ОДИН!
пользуйся поиском
 

usascha

Новичок
ёпрст, а я им пользовался и спрашиваю не что это такое. А правильно ли я это сообщение понимаю. Поскольку никогда сам не делал инъекций и не знаю как они выглядят.. тем более не знаю как выглядят ошибки после неправильных или неудачных инъекций.


будьте внимательнее:
фанта[з|н]ировать => ф[о]нтан, но ф[а]нтазировать
 
С.

С.

Продвинутый новичок
И мыслю далее - а поскольку у меня в этом поле прямо прописан адрес на который отправлять форму с заявкой...
Нажмите для раскрытия...
...значит никто ничего туда не инъектирует.

Надо просто посмотреть заголовки письма посмотреть, чтобы не гадать.
 

usascha

Новичок
тема берется из формы, т.е. она отправляется посетителем сайта.
Из прочитанного ЧЕРЕЗ ПОИСК я решил, что именно это содержимое и подменяется. Правда, у провайдера стоит функция проверки получателя и отправителя, поэтому скрипт никак не может угадать имеющиеся у нас ящики. Возможно никогда и не сможет... но сообщения об ошибках достали.

В общем я сделал так:

PHP: 
$_POST['order'] = urldecode($_POST['order']);
if (eregi("@", $_POST['order']))
	die("Ошибка текста заказа :( " );

$rez = @mail("реальный_мейл_прямо_вписаный_в_скрипт", "Заказ", $_POST['order'],
"MIME-Version: 1.0\nContent-type: text/plain; charset=windows-1251\n Content-Transfer-Encoding: 8bit;
From: $email\nReply-To: $email\n");
здесь $email - это адрес, для отратной связи с заказчиком.
 
Фанат

Фанат

oncle terrible
Команда форума
а откуда он берется, этот адрес, для отратной связи с заказчиком?
а, главное, нафига его писать во from?
 

usascha

Новичок
форма предполагает, что заказчик укажет свой е-мейл для связи.
Во from он стоит, чтобы мои не очень опытные сотрудники могли видеть у себя в OutlookExpress адрес отправителя и при нажатии на кнопку "Ответить" все у них работало самостоятельно.
 
Фанат

Фанат

oncle terrible
Команда форума
анекдот.
и он ещёспрашивает, откуда у него инъекции
 

usascha

Новичок
я не спрашиваю "Откуда?", я спрашиваю правильно ли я понял.

Разницу чуешь!
 
Войдите или зарегистрируйтесь для ответа.
Сверху