Spam prin formularul de contact

Salut

Spam prin formul de contact.

A patit cineva la fel?

Thank you

In ce sens?
Ti-a trimis o oferta nedorita prin formularul tau de contact?

Site ul are Contact Us.
Omu' baga acolo cod si trimite mesaje la adrese puse de el in bcc

Da am auzit.
Daca nu e protejat formularul de contact e destul de nasol.
Se practica, din pacate, si acest tip de spam prin exploatarea breselor de securitate ale formularelor de contact.

mai nou si la inregistrare imi apare acum la un site din ro
se ocupa proprietarul de site
si tot sta sa stearga la inregistrari
i am pus cod cu litere si cifre - degeaba pentru ca omu' face manual

Fa replace la "\r" si "\n" cu "" la toate inputurile pe care le folosesti in headerele e-mailului si verifica daca textul obtinut are mai mult de X chars (45 de chars cred ca e rezonabil ca lungime de adresa de e-mail, nume etc) ptr a decide daca scriptul mai trimite mailul sau nu.

Cod PHP:

---

function hackAttempt($input)
     {
            if (eregi("\r", $input) || 
            eregi("\n", $input) ||
            eregi("%0a", $input) ||
                eregi("%0d", $input) ||
                eregi("Content-Type:", $input) ||
                eregi("bcc:", $input) ||
                eregi("to:", $input) ||
                eregi("cc:", $input))
            {
                    return true;
            }
            else
            {
                    return false;
            }
      } 


---

Poti folosi codul de mai sus. Ca parametru, poti da field-urile din form:

Cod PHP:

---

foreach($_POST as $name=>$value)
        {
            if (hackAttempt($value))
            {
                exit();
            }
        } 


---

Un mesaj primit in mail-ul unde ar fi trebuit sa vina mesajele de la formularu de contact

De la : office@[xxxxx].ro\\\\n\\\\r bcc=\\\"office@[xxxx]\\\"Subiect :
About your [xxxx]\\\\n\\\\r bcc=\\\"office@[xxxxx]\\\"
Categorie contact: suport
eMail : [xxxxxx]
Mesaj : [prea mare ca sa il afisez aici]
Timp : 1178175683
De la : [xxx.xxx.xxx.xxx]

ce e cu [xxx] a fost modificat :D
\n \r \t sunt scoase cu mysql


Functia cu care am scos : (defapt cod)

Cod PHP:

---

if ($_SERVER['REQUEST_METHOD'] == "POST"){
    foreach ($_POST as $key=>$val){
        if(is_array($val)){
            foreach ($val as $val2=>$key2)
            $http_vars['post'][$key][$val2] =  htmlspecialchars($pgsql->escape($key2));
        }
        else $http_vars['post'][$key] = htmlspecialchars($pgsql->escape($val)); // $pgsql->escape() echivalentul lui mysql_real_escape_string() sau  pg_escape_string()
    }
    $http_vars['action']['post'] = true;

} 


---

si in loc de $_POST, am pasat alta variabila $http_vars['post'], e mult mai sigur si niciodata nu a crapat :D

Buna seara.Si mie mi s-a intimplat 4 zile la rind,cam 5-6 emailuri pe zi,pline ,ridicol de multe linkuri,cel putin 50-60 toate cu porn,kids,ce-am citit printre rinduri,si ceva cu .ro bineinteles.
Partea proasta a fost,ca am un magazin online de pantofi,si nu aveam inca shopping cart,deci formularul era singura mdalitate dea lua comenzile.
A trebuit sa-l scot, am hostingul la godaddy ,dar nu au putut face nimic.
Cum explicati ca inca vreo 3 zile dupa ce l-am scos am tot primit emailurile,desi nu mai aveam contact formul?
Am sunat inapoi la Godaddy si abia atunci au deschis caz,si nu am mai primit.
Care este explicatia?

Citat:

---

Postat în original de Miami

Cum explicati ca inca vreo 3 zile dupa ce l-am scos am tot primit emailurile,desi nu mai aveam contact formul?
Care este explicatia?

---

Poate ca ai scos formularul, dar nu si scriptul care procesa acel formular. Cei care au facut spam-ul si-au creat un formular exact ca al tau cu action spre scriptul tau.