Jump to content
xt:Commerce Community Forum
Sign in to follow this  
chefjaeger

Leere Mail durch Kontaktformular

Recommended Posts

OK Leute - ist ja schön und gut.

Diese Maßnahme der kastrierterten Nachrichten diente ja auch zum Schutz vor Schadcode.

Wie ist es mit der Shop-Sicherheit vor Schadcode über das Formular wenn man das Kontaktformular so hart öffnet?

Share this post


Link to post
Share on other sites

OK Leute - ist ja schön und gut.

Diese Maßnahme der kastrierterten Nachrichten diente ja auch zum Schutz vor Schadcode.

Wie ist es mit der Shop-Sicherheit vor Schadcode über das Formular wenn man das Kontaktformular so hart öffnet?

Wenn du sagen willst das "magic_quotes_gpc" nicht mehr den aktuellen Sicherheitsstandards entspricht und sowieso mit PHP 6 Geschichte ist, dann hast du wohl Recht. Aber was soll man denn sonnst machen?

Was passiert eigentlich wenn man "magic_quotes_gpc" aktiviert, wird es dem eigenem Veyton Filter übergeordnet? Werden die Nachrichten doppelt maskiert?

Wie sieht es eigentlich mit "mysql_real_escape_string" aus, kann man das für sich nutzen, wenn ja, wo am besten einsetzten?

Share this post


Link to post
Share on other sites

Wenn du sagen willst das "magic_quotes_gpc" nicht mehr den aktuellen Sicherheitsstandards entspricht und sowieso mit PHP 6 Geschichte ist, dann hast du wohl Recht. Aber was soll man denn sonnst machen?

Was passiert eigentlich wenn man "magic_quotes_gpc" aktiviert, wird es dem eigenem Veyton Filter übergeordnet? Werden die Nachrichten doppelt maskiert?

Wie sieht es eigentlich mit "mysql_real_escape_string" aus, kann man das für sich nutzen, wenn ja, wo am besten einsetzten?

Die Sicherung durch die Funktion "mysql_real_escape_string" wird nur dann benötigt, wenn du (wie der Name schon sagt) die Daten an eine Datenbank übergibst bzw. im Zusammenhang mit einem Datenbankzugriff diese Daten verwendest.

Das ist derzeit bei XTC nur dann der Fall, wenn du die Filter für die Bestellungs-Bemerkung ändern willst.

Die bisher genannten Änderungen für die "Customer_Message" umgehen den Filter für eine per E-Mail abgeschickte Information. Dort haben Hacker (meines Wissens nach) keinen Zugriff auf die Datenbank.

Es wäre zwar eine zusätzliche Sicherheitsmaßnahme die im Grunde nicht schadet, aber dafür darfst du dann in der E-Mail auch preparierte Anführungszeichen/Hochkommas vorfinden (also alle " sind \" und ' werden zu \').

Schönen Gruß,

Simon

Share this post


Link to post
Share on other sites

Hallo zusammen,

heute bin ich auch auf dieses Problem gestoßen.

Erstmal zu mysql_real_escape_string dies wird dort nicht benötigt, da VEYTON scheinbar alles von Haus aus escaped was an die DB geschickt wird.

Alle die bis hier her gelesen haben, haben sicher festgestellt, dass der Fehler nicht nur im Kontaktformular auftritt, sondern auch im Feld Bemerkungen beim Bestellprozess.

Da es keine komplette Lösung gab, habe ich selber eine geschrieben.

Hier geht es zu meiner Lösung: http://www.xt-commerce.com/forum/fragen-zur-software/95541-l-sung-kontaktformular-und-bemerkung-leer.html

Share this post


Link to post
Share on other sites

Naja Magic Quote on is aber doof weil sowohl in den Mails vom Kontaktfomrularen als auch z.b. im Feld SEO Beschreibungen Anführungszeichen so aussehen (siehe Anhang)!


Hallo, wir sind eine Buchhandlung u. würden gerne zum Wiederverkauf den Titel \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\"Alle lieben Käsekuchen\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\" bestellen. Gibt\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'s da für uns Rabatt bzw. wie hoch wären die Versandkosten? Wir freuen uns über ihre Info! MfG Buchhandlung Buchfink Koller

Sehr unschön :(. Die Lösung wäre via htaccess php_value magic_quotes_gpc off zu setzen aber dann versendet das Kontaktformular keinen Text mehr sobald ein Anführungszeichen enthalten ist....was kann ich tun?

Gruß

Frank

post-98198-14337915399271_thumb.jpg

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...