Formulaire de contacts utilisé par spammeur

16 réponses

Auteur	Message
Fred \| Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 16:56 Salut Je viens de recevoir un mail pour m'avertir qu'un formulaire de contacts sur un de mes sites était utilisé pour envoyé du spam, et me dire de sécuriser le script. Je veux bien, mais comment est-ce possible qu'il soit utilisé à ces fins ? Le destinataire (moi) est spécifié en dur dans le script et n'est pas modifiable par le formulaire. C'est un formulaire tout con avec un mail() php comme j'en ai toujours fait. "Le bois ne rend pas les coups"
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:00 Curieux... ajoutes tu une info "From: XXXX" contenant l'email du gars ? Parce que si c'est le cas, le gars pourrait glisser un "retour chariot" dans le champ, et ensuite glisser tous les entêtes qu'il souhaite... Et il faut aussi qu'il s'arrange pour que toi tu ne reçoive pas l'email :S daevel : infogérance et conseil \|\| moi
Fred \| Frédéric Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:10 Ah ben oui, c'était bien le "From"... bien vu, merci ! "Le bois ne rend pas les coups"
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:11 Ca m'est déjà arrivé, alors que oui j'ai bien un FROMxx Je sais pas comment il font, ils sont trop fort ! Mais bizzarement tous les mails je les recevait avec nianinaia@monserveur.com donc j'ai rajouter une ligne pour regarder si yavait @monserveur.com ou pas ... depuis plus de problème ... @+ Jean-Philippe
Fred \| Frédéric Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:12 Ouais, pas bête Ca doit marcher aussi en détectant le retour chariot "Le bois ne rend pas les coups"
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 30/11/2005 à 17:20 on peut rien faire d'autre ? ca m'arrive aussi en ce moment c'est chiant Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
flush \| Jean-Philippe Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:31 Voilà je viens de mettre mon script a jour : $email = trim($_POST['email']); if(!ereg("\n",$email) && $_POST['sujet'] && strlen($_POST['message'])>10) { ... } else { ... } Normalement je devrait être tranquile avec ça ^^ Sinon , il faudrait bien que je vérifie la validié de l'adresse email, mé la flemme lol ! @+ Jean-Philippe
jerome347 \| Jérôme Membre Inscrit le : 09/05/2005	# Le 30/11/2005 à 17:35 J'ai eu pareil il y a quelques semaines sur le mien mais l'était pas très malin, il mettait la même chose dans le champ telephone que dans le champ mail. Du coup j'ai juste bloqué if $mail == $tel et il est plus reviendu.
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 18:32 bon, bah j'en ai profité pour filtrer chez moi aussi.... au cas où : $email = preg_replace( '#[^a-zA-Z0-9\\-_.@]+#', '', $_REQUEST['email'] ); daevel : infogérance et conseil \|\| moi
Geo 113 \| Geoffrey Modérateur Inscrit le : 04/05/2005	# Le 30/11/2005 à 18:47 en fait mon problème à moi est qu'il me spam la gueule, je recoi plein de trucs sur ma boite, et ca je vois pas comment le controler à part en mettant un système de numéro en image à réinscrire dans un form. Cosmix Rendez imprévisible l'Economie; Mentez aux sondages
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 30/11/2005 à 19:09 J'ai ca aussi sur un site en mutu chez ovh. C'est quand meme pas tres secure l'envoi de mail par php si il suffit de rajouter un \n dans l'email... Merci bool pour ta fonction de controle que je vais installer de suite Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f
Limit \| Cyril Membre Inscrit le : 11/05/2005	# Le 30/11/2005 à 19:12 C'est surtout qu'il faut filtrer toutes les entrées utilisateurs que ca soit un mail ou n'importe quoi d'autre Forum Gratuit - Blog gratuit
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 19:12 c'est pas la faute à PHP ici mais aux développeurs qui construisent eux mêmes les entêtes SMTP, sans verifier ce qu'ils y mettent. daevel : infogérance et conseil \|\| moi
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 19:38 Euh perso je vérifie jsute si $email est une adresse valide, logiquement un truc du genresdfs@sdfs.fr\nBCC: sfs@sdf.de ne l'est pas.. si?
Bool \| Olivier Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 19:49 si tu verifies bien, pas de soucis ;) daevel : infogérance et conseil \|\| moi
radins \| Tobias Modérateur Inscrit le : 09/05/2005	# Le 30/11/2005 à 19:58 Ok :-)
devtribu \| Olivier Modérateur Inscrit le : 16/06/2005	# Le 30/11/2005 à 20:12 Oui, je reconnais que c'est de ma faute ! Mais si j'adopte le principe strict de controle a chaque traitement, jusqu'ici j'avais "oublié" de le faire pour le mail Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

Auteur

Message

Fred |
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 16:56

Salut

Je viens de recevoir un mail pour m'avertir qu'un formulaire de contacts sur un de mes sites était utilisé pour envoyé du spam, et me dire de sécuriser le script. Je veux bien, mais comment est-ce possible qu'il soit utilisé à ces fins ? Le destinataire (moi) est spécifié en dur dans le script et n'est pas modifiable par le formulaire.
C'est un formulaire tout con avec un mail() php comme j'en ai toujours fait.

"Le bois ne rend pas les coups"

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:00

Curieux...

ajoutes tu une info "From: XXXX" contenant l'email du gars ?

Parce que si c'est le cas, le gars pourrait glisser un "retour chariot" dans le champ, et ensuite glisser tous les entêtes qu'il souhaite...

Et il faut aussi qu'il s'arrange pour que toi tu ne reçoive pas l'email :S

daevel : infogérance et conseil || moi

Fred | Frédéric
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:10

Ah ben oui, c'était bien le "From"... bien vu, merci !

"Le bois ne rend pas les coups"

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:11

Ca m'est déjà arrivé, alors que oui j'ai bien un FROMxx

Je sais pas comment il font, ils sont trop fort !

Mais bizzarement tous les mails je les recevait avec

nianinaia@monserveur.com

donc j'ai rajouter une ligne pour regarder si yavait @monserveur.com ou pas ... depuis plus de problème ...

@+ Jean-Philippe

Fred | Frédéric
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:12

Ouais, pas bête Ca doit marcher aussi en détectant le retour chariot

"Le bois ne rend pas les coups"

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 30/11/2005 à 17:20

on peut rien faire d'autre ?

ca m'arrive aussi en ce moment c'est chiant

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

flush | Jean-Philippe
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:31

Voilà je viens de mettre mon script a jour :

$email = trim($_POST['email']);

if(!ereg("\n",$email) && $_POST['sujet'] && strlen($_POST['message'])>10)
{

...

}
else
{
...
}

Normalement je devrait être tranquile avec ça ^^ Sinon , il faudrait bien que je vérifie la validié de l'adresse email, mé la flemme lol !

@+ Jean-Philippe

jerome347 | Jérôme
Membre

Inscrit le : 09/05/2005

# Le 30/11/2005 à 17:35

J'ai eu pareil il y a quelques semaines sur le mien mais l'était pas très malin, il mettait la même chose dans le champ telephone que dans le champ mail. Du coup j'ai juste bloqué if $mail == $tel et il est plus reviendu.

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 18:32

bon, bah j'en ai profité pour filtrer chez moi aussi.... au cas où :

$email = preg_replace( '#[^a-zA-Z0-9\\-_.@]+#', '', $_REQUEST['email'] );

daevel : infogérance et conseil || moi

Geo 113 | Geoffrey
Modérateur

Inscrit le : 04/05/2005

# Le 30/11/2005 à 18:47

en fait mon problème à moi est qu'il me spam la gueule, je recoi plein de trucs sur ma boite, et ca je vois pas comment le controler à part en mettant un système de numéro en image à réinscrire dans un form.

Cosmix
Rendez imprévisible l'Economie; Mentez aux sondages

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 30/11/2005 à 19:09

J'ai ca aussi sur un site en mutu chez ovh.
C'est quand meme pas tres secure l'envoi de mail par php si il suffit de rajouter un \n dans l'email...
Merci bool pour ta fonction de controle que je vais installer de suite

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

Limit | Cyril
Membre

Inscrit le : 11/05/2005

# Le 30/11/2005 à 19:12

C'est surtout qu'il faut filtrer toutes les entrées utilisateurs que ca soit un mail ou n'importe quoi d'autre

Forum Gratuit - Blog gratuit

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 19:12

c'est pas la faute à PHP ici mais aux développeurs qui construisent eux mêmes les entêtes SMTP, sans verifier ce qu'ils y mettent.

daevel : infogérance et conseil || moi

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 19:38

Euh perso je vérifie jsute si $email est une adresse valide, logiquement un truc du genresdfs@sdfs.fr\nBCC: sfs@sdf.de ne l'est pas.. si?

Bool | Olivier
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 19:49

si tu verifies bien, pas de soucis ;)

daevel : infogérance et conseil || moi

radins | Tobias
Modérateur

Inscrit le : 09/05/2005

# Le 30/11/2005 à 19:58

Ok :-)

devtribu | Olivier
Modérateur

Inscrit le : 16/06/2005

# Le 30/11/2005 à 20:12

Oui, je reconnais que c'est de ma faute !
Mais si j'adopte le principe strict de controle a chaque traitement, jusqu'ici j'avais "oublié" de le faire pour le mail

Février 2019, mon futur livre Tout JavaScript chez Dunod https://amzn.to/2PoLd0f

Répondre

Vous ne pouvez pas participer au forum, car votre inscription n'a pas été validée. Pour vous faire valider en tant que Membre, cliquez ici.